ID intern unic: 337977
Версия на русском
Republica Moldova
din 20.12.2010
cu privire la aprobarea reglementărilor tehnice
Abrogat prin OMEI309 din 21.06.18, MO256-265/13.07.18 art.1128; în vigoare13.07.18
În temeiul Legii privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006 şi în vederea executării Hotărîrii Guvernului “Cu privire la unele acţiuni de implementare a Strategiei Naţionale de edificare a societăţii informaţionale – “Moldova electronică” în anul 2007” nr. 606 din 01.06.2007, precum şi a Hotărîrii Guvernului “Cu privire la aprobarea repartizării mijloacelor Fondului pentru realizarea Programului naţional de elaborare a reglementărilor tehnice” nr. 564 din 21.05.2007,
a) Asigurarea securităţii informaţiei bazelor de date în procesul de prestare a serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 1;
b) Asigurarea securităţii informaţiei infrastructurii informaţionale pentru autorităţile administraţiei publice. Cerinţe tehnice, conform anexei nr. 2;
2. Reglementările tehnice menţionate în punctul 1 vor intra în vigoare în termen de trei luni de la data publicării în Monitorul Oficial al Republicii Moldova.
3. Controlul asupra executării prezentului ordin se pune în sarcina Direcţiei reglementare tehnică şi standardizare.
MINISTRUL TEHNOLOGIILOR
INFORMAŢIONALE ŞI COMUNICAŢIILOR Alexandru OLEINIC
Nr. 106. Chişinău, 20 decembrie 2010.
Accesul la informaţia oficială şi prestarea serviciilor publice pentru cetăţeni şi mediul de afaceri prin mijloace electronice se realizează în baza datelor conţinute în bazele de date (BD) disponibile în cadrul autorităţilor administraţiei publice. În acest scop este necesar de asigurat securitatea informaţiei a BD pentru realizarea unui proces eficient şi sigur de funcţionare a autorităţilor administraţiei publice şi de schimb de informaţii cu cetăţenii şi mediul de afaceri în procesul de prestare a serviciilor publice.
Obiectivul prezentei reglementări constă în stabilirea modului de asigurare a securităţii informaţiei a BD care asigură şi susţin procesul de funcţionare a autorităţilor administraţiei publice.
Prezenta reglementare stabileşte metodele de abordare şi cerinţele privind asigurarea securităţii informaţiei a BD din cadrul autorităţilor administraţiei publice. De asemenea, prezentul document stabileşte cerinţele privind efectuarea analizei riscurilor legate de BD, precum şi pericolele şi vulnerabilităţile potenţiale principale ale BD în procesul prestării serviciilor publice.
Prezenta reglementare se aplică pentru toate tipurile de BD din cadrul autorităţilor administraţiei publice, care asigură procesul de prestare a serviciilor publice, indiferent de natura informaţiei păstrate, metoda de păstrare a datelor sau de structura de organizare a datelor.
Prezenta reglementare este elaborată în baza următoarelor acte legislative şi normative ale Republicii Moldova:
- Legea cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- Legea privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
- Legea privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006;
- Legea cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- Legea cu privire la registre nr. 71-XVI din 22.03.2007;
- Legea comunicaţiilor electronice nr. 241-XVI din 15.11.2007;
- Legea cu privire la secretul de stat nr. 245-XVI din 27.11.2008.
În prezenta reglementare sînt utilizaţi următorii termeni:
Cheie externă – element esenţial din tabelul subordonat, a cărui valoare coincide cu valoarea cheii primare din tabelul principal.
Cheie primară – element esenţial principal care identifică într-un mod unic rîndul din tabel al bazei de date.
Copierea de rezervă a bazelor de date – mijloace care asigură restabilirea bazelor de date în caz de dereglare a funcţionării sistemului.
Managementul bazelor de date – gestionarea bazei de date care include un şir de activităţi care asigură exactitatea, consistenţa, plenitudinea, protecţia şi accesibilitatea datelor în formatul, locul şi intervalul de timp necesar.
Obiect al bazei de date – element al bazei de date dotat cu anumite caracteristici şi care reacţionează într-un mod special la anumite evenimente din exterior.
Proprietar al obiectelor bazelor de date – subiectul care exercită dreptul de posesiune şi folosinţă asupra obiectelor menţionate şi care este învestit cu împuterniciri depline în privinţa obiectului.
Restabilirea bazei de date – readucerea bazei de date la starea ei de pînă la dereglare.
Sisteme de gestiune a bazelor de date – un set de mijloace software destinate pentru organizarea şi întreţinerea bazei de date, pentru crearea structurii unei baze noi, completarea bazei respective, redactarea conţinutului şi vizualizarea informaţiei.
2. Cerinţele privind obiectivele asigurării securităţii informaţiei a bazelor de date
BD prezintă un component important al infrastructurii informaţionale a autorităţilor administraţiei publice, cu ajutorul cărora se execută funcţiile de prelucrare, păstrare şi manipulare a informaţiei. Întrucît BD conţin informaţii preţioase, este necesar de asigurat securitatea informaţiei a acestora, şi anume confidenţialitatea, integritatea şi accesibilitatea.
Asigurarea securităţii informaţiei a BD trebuie să fie orientată spre realizarea următoarelor obiective:
- protecţia informaţiei preţioase din BD împotriva divulgării, pierderii, denaturării şi distrugerii, reieşind din confidenţialitatea, integritatea, accesibilitatea;
- protecţia structurii BD împotriva violării şi modificării nesancţionate;
- asigurarea monitorizării orientate spre asigurarea posibilităţii de a fixa cu ajutorul sistemului de securitate informaţiei orice activitate, utilizatorii şi procesele legate de operaţiile BD, precum şi utilizarea obiectelor pasive în scopul comiterii unor fraude;
- asigurarea caracterului anonim şi a controlului (posibilitatea de a controla utilizarea corectă a informaţiei şi a eficienţei măsurilor de securitate a BD).
3. Cerinţele privind sarcinile asigurării securităţii informaţiei a bazelor de date
Pentru realizarea scopurilor fixate în privinţa asigurării securităţii informaţiei a BD este necesar de îndeplinit următoarele sarcini:
- identificarea şi prognozarea surselor de pericole, vulnerabilităţilor şi riscurilor corespunzătoare, care survin în rezultatul modificărilor efectuate în mediul informaţional şi de control;
- evaluarea riscurilor securităţii informaţiei a BD;
- elaborarea unei politici unitare şi a planului de asigurare a securităţii BD, precum şi a mecanismelor de realizare a acestora;
- coordonarea reciprocă a măsurilor de asigurare a securităţii informaţiei a BD;
- utilizarea mijloacelor hardware şi software ce corespund cerinţelor securităţii a BD;
- realizarea procesului de management incidentelor legate de violarea securităţii informaţiei a BD;
- asigurarea informării privind violările securităţii BD şi realizarea măsurilor coordonate pentru lichidarea consecinţelor în caz de violare a securităţii;
- implementarea măsurilor şi mijloacelor de asigurare a securităţii care sînt în conformitate cu nivelurile riscurilor şi pericolelor depistate.
Asigurarea securităţii informaţiei a BD trebuie să se bazeze pe principiile care sînt examinate în următoarele regulamente tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.6 Procesul de gestionare a securităţii informaţiei;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.3 Principiile de asigurare a securităţii informaţiei.
4. Cerinţele privind metode de abordare a securităţii informaţiei a bazelor de date
Pentru a atinge scopurile asigurării securităţii informaţiei a BD este necesar de aplicat următoarele metode de abordare:
- metoda procesuală a asigurării securităţii informaţiei;
- metoda sistemică a asigurării securităţii informaţiei;
- metoda structurală a asigurării securităţii informaţiei;
- metodele selectivă şi obligatorie ale asigurării securităţii informaţiei.
Aplicarea metodelor menţionate de abordare pentru asigurărea securităţii informaţiei a BD trebuie să asigure obţinerea următoarelor rezultate:
- confidenţialitatea, plenitudinea şi exactitatea datelor ce se conţin în BD;
- confirmarea executării şi documentării corecte a operaţiilor;
- caracterul adecvat al registrelor de audit al operaţiilor/accesului;
- nivelul necesar de protejare a serviciilor pentru utilizatori ale BD;
- evidenţa şi analiza eficientă a depistării atacurilor asupra BD, precum şi prevenirea lor.
Concepţia metodei de abordare procesuale este examinată în regulamentul tehnic «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice». Cerinţele asigurării securităţii informaţiei a BD în cadrul metodei de abordare procesuale sînt examinate în capitolul 5.
1) Metoda de abordare sistematică a asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD trebuie să fie aplicată metoda sistemică care trebuie să determină cerinţele securităţii informaţiei:
- privind obiectele BD;
- privind tipurile principale de risc pentru bazele de date;
- privind vulnerabilităţile principale ale bazelor de date.
2) Metoda de abordare structurată a asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD trebuie să fie aplicată metoda structurată care trebuie să determină cerinţele către masurile şi mijloacele de asigurare a securităţii informaţiei a BD:
- identificarea, autentificarea şi autorizarea în BD;
- managementul accesului în BD;
- managementul sistemelor de gestiune a bazelor de date (SGBD) din perspectiva ciclului de viaţă al resursei informaţionale;
- gestionarea copierii de rezervă şi restabilirii bazelor de date;
- protecţia BD împotriva viruşilor şi codului maliţios;
- controlul asupra integrităţii BD;
- criptarea datelor în BD;
- auditul şi monitorizarea BD;
- repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a BD;
- instruirea personalului în materie de asigurare a securităţii informaţiei a BD.
3) Metode selectivă şi obligatorie ale asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD pentru obiectele BD, unde în calitate de obiecte ale BD apar atît BD în întregime, cît şi orice obiect din cadrul BD, este necesar de aplicat două metode generale de abordare: metoda selectivă şi metoda obligatorie.
În cazul metodei selective de abordare, un anumit utilizator poate deţine diferite drepturi (privilegii sau împuterniciri) în procesul de operare cu obiectele BD.
În cazul metodei obligatorii de abordare, este necesar de atribuit fiecărui obiect al BD un anumit nivel de clasificare, iar fiecare utilizator urmează să deţină un anumit nivel de acces.
Pentru a asigura securitatea deplină şi sigură a acestora este necesar de dat dovadă de flexibilitate în procesul de selectare şi mentenanţă a măsurilor şi mijloacelor de securitate. Aceste metode de abordare a asigurării securităţii informaţiei permit:
- identificarea soluţilor tehnice şi de software lesne de gestionat şi de administrat pentru protecţia BD, soluţii ce corespund cerinţelor unei autorităţi concrete a administraţiei publice, evitîndu-se astfel excesul de ataşare la o singură platfomă de software sau la un singur furnizor;
- aplicarea unor măsuri de securitate a BD ce sînt caracterizate printr-un grad mai sporit de eficienţă şi siguranţă şi prin costuri minimizate, precum şi controlul şi managementul acestora.
5. Cerinţe către asigurarea securităţii informaţiei a bazelor de date în cadrul abordării procesuale
1) Cerinţe securităţii informaţiei privind managementul riscurilor
Pentru a asigura securitatea informaţiei a BD, procesul de management al riscurilor trebuie să includă un set de etape consecutive:
- determinarea obiectelor de protecţie a BD;
- determinarea şi analiza pericolelor;
- evaluarea vulnerabilităţilor;
- evaluarea riscurilor;
- determinarea cerinţelor privind protecţia BD;
- determinarea măsurilor şi mijloacelor de asigurare a securităţii BD;
- implementarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei BD;
- monitorizarea sistemului de asigurare a securităţii BD şi perfecţionare acestuia.
2) Cerinţe către etapa determinării obiectelor de protecţie a bazelor de date
Pentru a asigura securitatea informaţiei BD, această etapă trebuie să fie îndreptată în identificarea obiectelor conţinute în BD, care necesită protecţie împotriva influenţelor nedorite sau în neadmiterea scurgerii informaţiilor ce se conţin în obiectele identificate.
În cadrul acestei etape este necesar de întreprins următoarele activităţi:
- localizarea, alcătuirea listelor şi determinarea caracteristicilor datelor şi obiectelor BD;
- stabilirea limitelor şi a sferelor ce urmează a fi supuse analizei riscurilor pentru BD;
- determinarea nivelului de criticitate a datelor şi obiectelor BD în baza criteriilor confidenţialităţii, integrităţii şi accesibilităţii.
În rezultatul identificării tuturor obiectelor BD este necesar de efectuat categorizarea acestora în baza următoarelor criterii:
- confidenţialitatea – categoriile datelor trebuie să corespundă nivelului de protecţie a informaţiei împotriva dezvăluirii nesancţionate conform cerinţelor următoarelor principii de clasificare a informaţiei:
a) grade de secretizare conform Legii Republicii Moldova cu privire la secretul de stat nr. 245-XVI din 27.11.2008;
b) categoriile datelor cu caracter personal conform Legii Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
c) obiectele secretului comercial conform Legii Republicii Moldova cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
d) acces la informaţia oficială conform Legii Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
e) acces la informaţia care este formată, procesată, păstrată în sistemele speciale conform Hotărîrii Guvernului Republicii Moldova cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova nr. 735 din 11.06.2002;
- integritatea:
a) „cu cerinţe înalte” – la această categorie urmează să fie atribuite obiectele BD, a căror modificare nesancţionată poate duce la cauzarea unui prejudiciu direct considerabil autorităţilor administraţiei publice şi a căror integritate trebuie să fie asigurată prin metode garantate în conformitate cu cerinţele obligatorii stabilite de legislaţia în vigoare;
b) „cu cerinţe reduse” – la această categorie urmează să fie atribuite obiectele BD, a căror modificare sau eliminare nesancţionată poate duce la cauzarea unui prejudiciu direct nesemnificativ sau indirect autorităţilor administraţiei publice sau colaboratorilor;
c) „fără cerinţe” – la această categorie urmează să fie atribuite obiectele BD pentru a căror integritate nu sînt stabilite cerinţe;
- accesibilitatea:
a) „accesibilitate nelimitată” – accesul la obiectele BD urmează să fie asigurat în orice timp; obiectul urmează să fie pus la dispoziţie permanent, reţinerea la obţinerea rezultatului nu trebuie să depăşească cîteva secunde sau minute;
b) „accesibilitate înaltă” – accesul la obiectele BD urmează să fie asigurat fără reţineri substanţiale în timp (intervalul de timp în decursul căruia informaţia poate să nu fie accesibilă nu trebuie să depăşească 2-4 ore);
c) „accesibilitate medie” – accesul la obiectele BD poate să fie asigurat cu reţineri substanţiale în timp (o dată la cîteva zile), reţinerea la obţinerea rezultatului nu trebuie să depăşească cîteva zile şi aceasta nu implică încălcarea regimului normal de activitate a autorităţilor administraţiei publice;
d) „accesibilitate redusă” – reţinerile în timp la accesarea obiectelor BD sînt practic nelimitate; reţinerea admisibilă la obţinerea rezultatului este de cîteva săptămîni şi aceasta nu implică încălcarea regimului normal de activitate a autorităţilor administraţiei publice.
Pentru fiecare tip de obiecte în dependenţă de categoriile accesului la informaţie trebuie să fie stabilite diferite drepturi de acces.
La determinarea obiectelor de protecţie ale BD este necesar de stabilit următoarele:
- obiectele care necesită protecţie;
- subiecţii care au nevoie de aceste obiecte şi termenul în decursul căruia necesar de acordare a obiectelor;
- gradul de complexitate a structurii BD;
- principiile aplicate pentru evaluarea valorii datelor păstrate în BD;
- răspunderea prevăzută de legislaţie şi răspunderea socială pentru asigurarea securităţii BD;
- măsuri şi mijloace de asigurare a securităţii necesare pentru protecţia datelor din BD în conformitate cu o anumită categorie de confidenţialitate, integritate şi accesibilitate.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- inexistenţa răspunderii formalizate a administratorilor bazelor de date;
- existenţa unor aspecte vulnerabile din punct de vedere organizaţional în organizarea funcţionării componentelor infrastructurii informaţionale legate de BD;
- divulgarea sau pierderea întîmplătoare a datelor din BD;
- informaţia, care este greşită sau care induce în eroare;
- absenţa unor standarde stabilite pentru asigurarea securităţii BD.
3)Cerinţe către etapa identificării şi analizei pericolelor
Pentru a asigura securitatea informaţiei BD este necesar de efectuat analiza riscurilor adică de identificat pericolele potenţiale ce vizează BD examinată. Stabilirea pericolelor potenţiale ce vizează BD şi a surselor acestor pericole constituie sarcina principală a activităţii de identificare şi analiză a pericolelor.
În cadrul acestei etape este necesar de întreprins un şir de activităţi, după cum urmează:
- de stabilit lista colaboratorilor care dispun de acces la resursele vulnerabile ale BD;
- de desemnat persoanele care poartă răspundere pentru modificarea informaţiei din BD;
- de verificat existenţa proceselor formalizate de efectuare a controlului colaboratorilor care dispun de acces la BD;
- de verificat nivelul de documentare şi implementare a procedurilor;
- de verificat existenţa programului de pregătire şi instruire a personalului care dispune de acces la resursele BD.
De asemenea, este necesar de efectuat analiza mijloacelor de management al securităţii BD care au fost implementate sau planificate pentru minimizarea sau eliminarea probabilităţii de realizare a pericolelor. La această etapă este necesar de efectuat următoarele activităţi:
- de analizat mijloacele profilactice de management al securităţii BD, mijloacele detective de management al BD:
a) mijloacele profilactice de management al securităţii BD trebuie să includă mijloacele de management al accesului, de criptare şi de stabilire a autenticităţii;
b) mijloacele detective de management al BD trebuie să includă mijloacele de ţinere a registrelor de evenimente, metodele de depistare a interferenţelor şi sume de control;
- de analizat metodele tehnice şi netehnice de controale:
a) metodele tehnice trebuie să includă mijloacele de management al accesului, identificarea şi mecanismele de autentificare, metodele de criptare, software-ul pentru depistarea interferenţelor;
b) metodele netehnice trebuie să includă politica şi planurile de securitate, procedurile de exploatare, personalul.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa controlului asupra accesului la informaţia ce se conţine în BD;
- absenţa următoarelor profiluri de acces la BD:
a) profilul accesului gestionat –formalizează metodele de organizare a securităţii BD, precum sînt metoda discretă de acces, metode de autentificare prin parole;
b) profilul nivelurilor de protecţie – extinde profilul accesului gestionat, prin adăugarea accesului în bază de categoriile de acces la informaţie;
- absenţa unei atitudini conştiente faţă de nivelurile de protecţie a BD la nivelul întregii organizaţii;
- absenţa sau elaborarea insuficientă a politicii şi procedurilor de securitate a BD;
- implementarea ineficientă a programului de instruire în sfera protecţiei BD.
4) Cerinţe către etapa evaluării vulnerabilităţilor
În cadrul acestui proces se efectuează evaluarea vulnerabilităţilor în condiţii de multiple pericole şi canale de scurgere a datelor din BD, în vederea identificării situaţiilor de pericol, a punctelor vulnerabile specifice ale BD şi a resurselor ce interacţionează cu BD, prin intermediul cărora se pot realiza pericolele.
În cadrul etapei date este necesar de efectuat următoarele activităţi:
- de alcătuit lista vulnerabilităţilor BD şi a resurselor care interacţionează cu BD, prin intermediul cărora se pot realiza pericolele;
- de identificat vulnerabilităţile pentru fiecare pericol potenţial;
- de utilizat rezultatele analizei conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii BD cu cerinţele stabilite ale securităţii;
- de utilizat surse de imprimare şi electronice ce conţin vulnerabilităţi cunoscute ale mijloacelor de asigurare a securităţii BD;
- de utilizat rezultatele testării mijloacelor de asigurarea a securităţii BD.
Pentru a depista punctele vulnerabile ale BD este necesar de a utiliza mijloacele pentru BD, care le scanează rapid şi uşor în limitele reţelei şi faţă de care sînt înaintate următoarele cerinţe în baza criteriilor de mai jos:
- analiza înregistrărilor de evidenţă a utilizatorilor şi a parolelor acestora:
a) trebuie efectuată analiza volumului de parole automate;
b) trebuie identificaţi foştii utilizatori care mai dispun de login;
c) trebuie verificate înregistrările de evidenţă ale utilizatorilor în materie de integritate;
- analiza configuraţiilor BD:
a) trebuie verificate autorizările şi interdicţiile de a utiliza setul de funcţii, a căror utilizare implică un prejudiciu potenţial pentru informaţia din BD;
b) analiza configuraţiilor trebuie să permită acordarea recomandărilor privind modificarea opţiunilor configuraţiei;
- analiza şi urmărirea statutului setărilor:
a) trebuie urmărite poziţiile corectărilor speciale hotfix şi a pachetelor de actualizări;
b) clienţii trebuie să fie notificaţi la timp despre conţinutul ce urmează să fie instalat în mijloacele software patch;
- analiza şi controlul împuternicirilor – trebuie stabilite înregistrările de evidenţă ale utilizatorilor care dispun de acces la proceduri, în caz de existenţă a unor eventuale pericole din partea acestora pentru BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa documentaţiei privind rezultatele analizei efectuate asupra conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii BD cu cerinţele stabilite ale securităţii;
- absenţa surselor ce conţin vulnerabilităţi cunoscute ale mijloacelor de asigurare a securităţii BD;
- absenţa sau caracterul incomplet al rezultatelor testării mijloacelor de asigurare a securităţii BD;
- implementarea ineficientă a programului de instruire în sfera protecţiei BD.
5) Cerinţe către etapa evaluării riscurilor
Procesul de evaluare a riscurilor are menirea de a identifica sursele de riscuri şi de a determina nivelul de importanţă cuantificat al acestora.
La etapa de evaluare a riscurilor trebuie să fie executat lista următoarelor acţiuni:
- trebuie să fie evaluată probabilitatea realizării reuşite a pericolelor şi consecinţele posibile pentru o autoritate concretă a administraţiei publice;
- trebuie să fie atribuită valoarea numerică riscurilor şi să fie efectuată clasificarea lor;
- trebuie să fie stabilite corect priorităţile la aplicarea măsurilor şi mijloacelor de asigurare a securităţii.
Evaluarea riscurilor se efectuează prin identificarea şi compararea lor cu scara prestabilită. Metoda de identificare a riscurilor trebuie să fie definită de fiecare autoritate a administraţiei publice conform cerinţelor legislative şi interne. Este posibilă efectuarea evaluării atît calitative cît şi cantitative a riscurilor.
După efectuarea evaluării riscurilor este necesar de adoptat o decizie în privinţa prelucrării riscurilor respective. Este necesar de aplicat următoarele patru măsuri de prelucrare a riscului:
- diminuarea riscului – riscul se consideră inadmisibil şi pentru minimizarea acestuia este necesar de selectat şi de realizat măsurile şi mijloacele corespunzătoare de asigurare a securităţii;
- transmiterea riscului – riscul se consideră inadmisibil şi în anumite condiţii se transmite către o organizaţie terţă (de exemplu, în cazul serviciilor de externalizare);
- acceptarea riscului – riscul se consideră admisibil în mod conştient atunci cînd costul măsurilor şi mijloacelor de asigurare a securităţii depăşeşte în mod considerabil pierderile financiare în caz de realizare a pericolului;
- neacceptarea riscului – respingerea de către o autoritate concretă a administraţiei publice a proceselor ce au cauzat riscul.
După prelucrarea riscurilor rămîne aşa-numitul risc rezidual, în privinţa căruia conducere trebuie să adopte şi să aprobe o decizie privind acceptabilitatea acestuia.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa clasificării obiectelor BD;
- absenţa unor priorităţi ce urmau a fi stabilite în privinţa obiectelor de protecţie în baza analizei şi evaluării riscurilor;
- repartizarea ineficientă a mijloacelor de asigurare a securităţii pentru obiectele datelor din BD ce necesită protecţie;
- absenţa documentaţiei privind vulnerabilităţile BD;
- absenţa metodelor de evaluare a riscurilor şi de evaluare documentată a riscurilor.
6) Cerinţe către etapa stabilirii cerinţelor privind protecţia bazelor de date
În baza informaţiei obţinute în procesul de evaluare a riscurilor este necesar de stabilit cerinţele privind asigurarea securităţii BD, după care urmează să fie obţinută următoarea informaţie:
- măsurile tehnologice aplicate de securitate ale BD;
- raportul dintre costul şi eficienţa măsurilor tehnologice accesibile de asigurare a securităţii BD;
- vulnerabilitatea elementelor mijloacelor de asigurare a securităţii BD.
Pentru a asigura securitatea informaţiei obiectelor BD este necesar de stabilit cerinţele de protecţie pentru diferitele forme şi tipuri de măsuri şi mijloace de asigurare a securităţii informaţiei BD.
Tipurile de măsuri şi mijloace de asigurare a securităţii trebuie să includă următoarele:
- măsuri şi mijloace privind neadmiterea riscului;
- măsuri şi mijloace privind minimizarea consecinţelor negative ale riscului.
Tipurile de măsuri şi mijloace de asigurare a securităţii trebuie să includă următoarele:
- mijloace tehnice – mijloace mecanice, electromecanice, electronice şi alte mijloace ce îndeplinesc sarcini de asigurare a securităţii BD;
- mijloace software – programe pentru identificarea utilizatorilor, efectuarea controlului asupra accesului, criptarea datelor etc.;
- mijloace hardware şi software combinate – îndeplinesc aceleaşi funcţii ca şi mijloacele hardware şi cele software în parte;
- măsuri organizaţionale – măsuri juridico-organizaţionale; de exemplu, cerinţele prevăzute de legislaţia naţională şi regulile de muncă stabilite de conducerea autorităţii concrete a administraţiei publice.
Este necesar de aplicat următoarele tipuri de controale:
- controalele preventive trebuie să fie aplicate pentru a preveni erorile şi pentru a se evita cheltuieli suplimentare legate de corectare;
- controalele de depistare trebuie să fie aplicate pentru a evalua eficienţa controalelor preventive şi pentru a depista erorile a căror evitare a fost imposibilă;
- controalele corective trebuie să fie utilizate în situaţia cînd consecinţele negative s-au produs deja şi au fost depistate.
După stabilirea cerinţelor de protecţie este necesar de determinat riscul rezidual şi de comunicat acest fapt conducerii autorităţii respective a administraţiei publice pentru confirmarea admisibilităţii riscului rezidual.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa unui proces formalizat de management al modificărilor;
- modificări frecvente în tehnologiile de protecţie a BD;
- incompatibilitatea platformelor diferitor mijloace de asigurare a securităţii BD.
7) Cerinţe către etapa determinării măsurilor şi mijloacelor de asigurare a securităţii bazelor de date
La selectarea măsurilor şi mijloacelor de asigurare a securităţii BD şi a caracteristicilor acestora este necesar de determinat riscurile cele mai critice ale BD şi de selectat măsurile şi mijloacele corespunzătoare de asigurare a securităţii în vederea diminuării acestor riscuri.
În procesul de selectare a măsurilor şi mijloacelor de asigurare a securităţii BD este necesar de întreprins următoarele activităţi:
- de identificat pericolele prioritare, pentru care este necesar de stabilit în primul rînd măsuri de asigurare a securităţii;
- de stabilit măsuri şi mijloace cu ajutorul cărora trebuie să fie realizată protecţia BD;
- de stabilit costul realizării măsurilor şi mijloacelor selectate pentru asigurarea securităţii BD;
- de stabilit nivelul necesar de calificare a personalului pentru executarea obligaţiilor privind protecţia BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- desfăşurarea ineficientă a activităţii organizaţionale în vederea sporirii eficienţei capacităţii de lucru a sistemelor realizate de protecţie şi a funcţionării acestora;
- absenţa schemelor organizaţionale şi a regulilor de executare a lucrărilor privind asigurarea securităţii BD.
8) Cerinţe către etapa implementării măsurilor şi mijloacelor de asigurare a securităţii bazelor de date
În cadrul asigurării securităţii informaţiei BD acestui proces este necesar de asigurat realizarea şi organizarea utilizării măsurilor şi mijloacelor selectate de asigurare a securităţii BD.
La implementarea măsurilor şi mijloacelor selectate de asigurare a securităţii BD este necesar de stabilit următoarele:
- nivelul de prioritate a obiectelor BD în funcţie de nivelul de protecţie;
- gradul de influenţă exercitată de realizarea programului de asigurare a securităţii BD asupra planurilor utilizatorilor pentru dezvoltarea sistemului informaţional;
- necesitatea unor resurse suplimentare pentru asigurarea securităţii BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- incompatibilitatea platformelor mijloacelor aplicate de asigurare a securităţii;
- absenţa sau descrierea incompletă a planurilor de implementare a măsurilor şi mijloacelor selectate de asigurare a securităţii BD.
9) Cerinţe către etapa monitorizării sistemului de asigurare a securităţii bazelor de date şi perfecţionării acestuia
În procesul de monitorizare a sistemului de asigurare a securităţii BD şi de perfecţionare a acestuia este necesar de efectuat controlul asupra distribuirii informaţiei în bazele de date în vederea realizării următoarelor obiective:
- asigurarea funcţionării mijloacelor de asigurare a securităţii BD;
- fixarea funcţiilor îndeplinite şi a stărilor mijloacelor de securitate a BD;
- fixarea evenimentelor legate de violarea securităţii BD.
Pentru a asigura securitatea informaţiei BD în cadrul acestei etape este necesar de stabilit următoarele:
- lista specialiştilor pentru activitatea eficientă a grupului de control;
- existenţa standardelor de securitate pentru fiecare BD, care să conţină lista măsurilor şi mijloacelor necesare pentru asigurarea securităţii datelor şi obiectelor unei BD concrete;
- eficienţa combinării existente a mijloacelor tehnice şi a celor de software, precum şi a măsurilor organizaţionale de asigurare a securităţii BD;
- nivelul de corespundere a condiţiilor existente privind asigurarea protecţiei informaţiei cu cerinţele prevăzute de legislaţie şi cerinţele sociale ale autorităţilor administraţiei publice;
- posibilele perfecţionări în vederea asigurării unei eficienţe şi capacităţi de lucru maxime ale sistemului de protecţie a BD;
- periodicitatea efectuării controlului.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa unei evaluări permanente a eficienţei programului de protecţie a BD;
- absenţa unei tendinţe motivate din partea întregului personal spre realizarea obiectivelor de asigurare a securităţii BD;
- absenţa rapoartelor şi recomandărilor din partea grupului de audit.
10) Obiective, cerinţe, condiţii de asigurare a securităţii BD pentru protecţia datelor şi obiectelor BD
Asigurarea securităţii BD trebuie să fie orientată spre realizarea următoarelor obiective:
- asigurarea nivelului necesar de protecţie a tuturor datelor şi obiectelor BD ale unei autorităţi concrete a administraţiei publice împotriva tuturor tipurilor de pericole interne sau externe care au survenit în rezultatul unor acţiuni sau intenţii premeditate sau ocazionale;
- garantarea faptului că măsurile şi mijloacele de asigurare a securităţii bazelor de date sînt adecvate şi corespund cerinţelor de management al riscurilor şi minimizează posibilităţile de cauzare a prejudiciului autorităţilor administraţiei publice.
Asigurarea securităţii BD trebuie să garanteze realizarea următoarelor sarcini:
- trebuie să fie identificate şi înlăturate la timp pericolele de securitate a informaţiei ce vizează datele critice şi obiectele BD;
- trebuie să fie determinate obiectele BD care pot fi vizate de pericole;
- trebuie să fie determinate sursele potenţiale de pericole;
- trebuie să fie evaluate riscurile aferente BD;
- trebuie să fie create mecanismul şi condiţiile de reacţionare operativă în caz de pericole de securitate informaţiei a BD şi de depistare a tendinţelor negative în funcţionarea BD;
- trebuie să fie efectuată reprimarea eficientă a atentatelor asupra datelor critice şi obiectelor BD;
- trebuie să se efectueaze managementul configuraţiilor şi modificărilor din BD;
- trebuie să fie elaborate şi implementate planurile de funcţionare continuă a BD;
- trebuie să se ridice nivelul de calificare a colaboratorilor autorităţilor administraţiei publice în domeniul protecţiei BD.
Pentru a determina toate acţiunile pentru atingerea scopurilor asigurării securităţii informaţiei a BD trebuie să fie elaborat Planul de asigurare a securităţii informaţiei.
Planul de asigurare a securităţii informaţiei trebuie să conţină următoarele:
- măsuri şi mijloace concrete de asigurare a securităţii BD;
- etapele realizării şi implementării mijloacelor hardware şi software şi măsurile organizaţionale de asigurare a securităţii BD;
- resursele care vor fi utilizate pentru asigurarea securităţii BD, inclusiv personalul necesar;
- termenele de realizare a măsurilor şi mijloacelor prevăzute în politica de securitate;
- procedurile de perfecţionare a procesului de asigurare a securităţii informaţiei a BD;
- procedurile de efectuare a instructajelor şi seminarelor de pregătire şi ridicare a nivelului de informare a personalului în probleme ce ţin de asigurarea securităţii BD.
11) Cerinţe securităţii informaţiei privind managementul incidentelor de securitate a informaţiei
Managementul incidentelor de securitate a BD trebuie să asigură comunicarea evenimentelor şi deficienţelor din sistemul de protecţie a BD într-un mod care oferă posibilitatea de a întreprinde în timp util o acţiune corectă, ceea ce permite diminuarea sau excluderea influenţei negative a încălcărilor în procesul funcţionării continue a BD.
Incidentele de securitate a informaţiei includ următoarele evenimente:
- încălcarea cerinţelor confidenţialităţii:
a) incidentele care au condiţionat accesul nesancţionat la datele şi obiectele BD;
b) pierderea purtătorilor de date ale BD;
c) pierderea sau sustragerea mijloacelor de echipament;
d) tentative din interior sau din exterior de a obţine accesul la BD;
- eventualele încălcări ale cerinţelor integrităţii:
a) pierderea datelor sau prelucrarea incompletă;
b) viruşii şi codul maliţios;
- eventualele încălcări ale cerinţelor accesibilităţii;
a) suspendarea deservirii BD pentru o perioadă îndelungată;
b) viruşii şi codul maliţios;
c) sustragerea mijloacelor de echipament, a componentelor sau purtătorilor de date ale BD;
- posibilităţile de violare a imposibilităţii de refuz;
- staţionările în procesul de deservire a BD;
- erorile comise de personal;
- nerespectarea politicii şi procedurilor de asigurare a securităţii informaţiei a BD;
- încălcările drepturilor de acces la datele şi obiectele BD.
Managementul incidentelor de securitate ale BD trebuie să fie realizat conform următoarelor etape:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
Etapele date sînt examinate mai detaliat în următoarele regulamente tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.1 Gestionarea incidentelor;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.5.3 Cerinţe privind reacţionarea la incidentele de încălcare a securităţii.
12) Cerinţe securităţii informaţiei privind managementul modificărilor
Pentru a asigura securitatea informaţiei a BD managementul modificărilor trebuie să asigură protecţia BD împotriva modificării nesancţionate şi denaturării datelor şi obiectelor BD.
Managementul modificărilor în BD trebuie să corespundă următoarelor cerinţe:
- să se asigure susţinerea domeniului de securitate care protejează datele împotriva interferenţei şi denaturării din partea subiecţilor neautorizaţi ai BD;
- să fie efectuată documentarea cu exactitate a tuturor datelor, procesele şi a modificărilor acestora în BD, în special a modificărilor legate de organizarea şi corectarea BD;
- modificările legate de organizarea şi corectarea BD trebuie să fie introduse doar de către persoanele abilitate;
- toate modificările legate de BD trebuie să fie urmărite permanent şi să fie supuse periodic auditării;
- fiecare BD trebuie să conţină un registru al modificărilor, ce are forma unei tabele şi în care sînt fixate acţiunile executate la nivelul întregii BD sau la nivelul anumitor tabele din cadrul acesteia;
- registrul modificărilor BD trebuie să permită determinarea sursei de date neautentice sau denaturate.
13) Cerinţe securităţii informaţiei privind asigurarea continuităţii bazelor de date
Pentru a contracara întreruperile în funcţionarea diferitor obiecte ale BD şi a BD înseşi, consecinţele negative cauzate de producerea situaţiilor excepţionale şi protecţia datelor critice şi a obiectelor BD împotriva influenţei deranjamentelor şi a evenimentelor negative trebuie să asigure continuitatea BD.
La asigurarea continuităţii BD este necesar de îndeplinit următoarele cerinţe:
- este necesar de determinat datele critice şi obiectele BD care sînt critice pentru activitatea autorităţii concrete a administraţiei publice;
- este necesar de evaluat riscurile şi factorii influenţei asupra funcţionării BD;
- este necesar de elaborat, în baza informaţiei despre riscuri, planuri strategice şi tactice, precum şi proceduri şi metode de control şi de asigurare a continuităţii BD, incluzînd metode de copiere de rezervă, de lucrări de restabilire în caz de situaţii excepţionale şi metode de replicare a datelor;
- implementarea procesului de asigurare a continuităţii BD se efectuează în trei etape de bază:
a) evaluarea riscurilor de încălcare a continuităţii BD;
b) elaborarea planului de restabilire după avarii pentru date critice şi obiecte ale BD;
c) elaborarea procedurilor detaliate, ce stabilesc consecutivitatea acţiunilor de utilizare a mijloacelor selectate de restabilire care asigură escaladarea situaţiilor extraordinare, precum şi termenul maxim admisibil de inaccesibilitate a datelor critice şi a obiectelor BD;
d) instruirea personalului în materie de acţiuni de asigurare a securităţii BD;
- este necesar de monitorizat şi de optimizat procesul de asigurare a continuităţii BD.
Pentru a asigura continuitatea funcţionării tuturor obiectelor ale BD şi deminuarea consecinţelor negative după situaţii fors-majore trebuie să fie elaborat Planul de asigurare a continuităţii BD.
Planul de asigurare a continuităţii BD trebuie să includă:
- asigurarea continuităţii suportului şi restabilirea capacităţii de funcţionare a BD;
- asigurarea continuităţii efectuării operaţiilor cu obiectele BD;
- întreprinderea măsurilor în caz de producere a incidentelor de calculator legate de BD;
- restabilirea BD în caz de producere a calamităţilor naturale;
- întreprinderea măsurilor în caz de producere a unor situaţii excepţionale.
14) Cerinţe faţă de securitatea informaţiei privind organizarea mediului intern de controale
Mediul intern de controale reprezintă cultura profesională şi morală a organizaţiei care stabileşte modul în care colaboratorii percep riscul şi reacţionează la el.
Pentru a asigura securitatea informaţiei BD mediului intern de controale trebuie să asigure garanţiile eficienţei funcţionării controalelor existente şi respectarea cerinţelor corespunzătoare stabilite de legislaţie.
Mediul intern de controale orientate spre asigurarea securităţii informaţiei BD trebuie să fie organizat în următoarele direcţii:
- trebuie să fie utilizate înregistrările de evidenţă şi parolele care asigură un acces adecvat la obiectele BD, ţinînd cont de categoriile de protecţie a informaţiei;
- trebuie să se efectueze managementul eficient al accesului, incluzînd accesul la distanţă, la datele critice şi la obiectele BD;
- trebuie să fie organizat accesul fizic cu stricteţe în conformitate cu politica de securitate, la complexul hardware şi software care asigură funcţionarea BD;
- trebuie să fie organizat procesul de continuitate în funcţionarea BD şi de restabilire eficientă în caz de pierdere parţială sau totală a obiectelor BD;
- trebuie să se asigure rezervarea şi păstrarea în siguranţă a BD;
- trebuie să fie instituite unele raportări de control;
- trebuie să se efectueze managementul personalului.
15) Cerinţe faţă de securitatea informaţiei privind evaluarea conformităţii
Evaluarea conformităţii securităţii informaţiei a BD trebuie să ofere siguranţa cu obiectele BD în conformitate cu cerinţele stabilite ale securităţii informaţiei.
Evaluarea conformităţii trebuie efectuată periodic, cel puţin o dată în an, precum şi în caz de modificări substanţiale în structura BD şi în caz de pericole de securitate. În rezultatul efectuării cu succes a evaluării conformităţii de către autorităţile abilitate să execite controlul de stat asupra respectării cerinţelor de securitate a tehnologiilor informaţiei, printre care este Agenţia Naţională pentru Reglementare în Comunicaţii Electronice şi Tehnologia Informaţiei (ANRCETI), trebuie să fie eliberat un certificat de conformitate.
Pentru a asigura securitatea informaţiei a BD în procesul de evaluare a conformităţii este necesar de evaluat:
- corespunderea măsurilor şi mijloacelor de asigurare a securităţii informaţiei cu cerinţele securităţii informaţiei stabilite de legislaţia în vigoare;
- corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii informaţiei;
- corectitudinea acţiunilor de lichidare a consecinţelor incidentelor de încălcare a securităţii şi de neutralizare a vulnerabilităţilor.
Pentru a obţine date despre starea securităţii informaţiei a obiectelor BD este necesar de îndeplinit o serie de acţiuni după cum urmează:
- trebuie să fie efectuată analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii informaţiei pentru a contracara incidentele produse de încălcare a securităţii;
- trebuie să fie efectuate verificarea şi testarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei în materie de conformitate cu cerinţele securităţii;
- trebuie să fie efectuată testarea în materie de pătrundere în vederea evaluării posibilităţii de utilizare a vulnerabilităţilor în scopul încălcării securităţii;
- trebuie să fie utilizate mijloacele hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii informaţiei şi identificarea vulnerabilităţilor.
În cazul depistării încălcării asigurării securităţii informaţiei BD, ANRCETI aplică sancţiuni administrative în modul stabilit de lege şi emite o decizie privind încetarea încălcării şi/sau luarea unor măsuri de remediere a consecinţelor ei.
Către organismele desemnate de evaluare a controlului de stat privind cerinţele securităţii informaţiei a BD, urmează să fie înaintate următoarele cerinţe:
- calificarea trebuie să fie confirmată prin certificatele specialiştilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA);
- trebuie prezentată dovada experienţei de muncă de cel puţin doi ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- specialiştii trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al protecţiei criptografice a cheilor publice.
6. Cerinţe către asigurarea securităţii informaţiei a bazelor de date în cadrul abordării sistematice
1) Cerinţe faţă de securitătea informaţiei privind obiectele bazelor de date
BD reprezintă totalitatea datelor combinate, organizate conform anumitor reguli, care prevăd principii generale de descriere, stocare şi procesare a datelor cu ajutorul diferitor obiecte.
Obiectele sînt elemente ale BD dotate cu anumite caracteristici, care execută anumite operaţiuni şi funcţii.
Obiectele principale ale BD trebuie să includă următoarele:
- tabele (tables) – păstrează nemijlocit datele;
- o vedere (views) – reprezintă obiect al BD care poate fi considerat ca fiind o tabelă virtuală, adică o tabelă pentru care se păstrează în BD doar schema, nu şi datele;
- proceduri păstrate (stored procedures) – module de program păstrate în BD pentru îndeplinirea unor operaţiuni cu datele din BD;
- un trigger – reprezintă o “subrutină” stocată în BD care conţine cod executabil, al cărei execuţii se va declanşa automat la întîmplarea unui anume eveniment;
- funcţii şi operatori (user defined function), create de utilizatori;
- indecşii (indexes) – structuri auxiliare de date create în scopul regăsirii mai rapide a datelor;
- tipuri de date definite de utilizator (user defined data types);
- chei (keys), ce reprezintă unul din tipurile de limitare a integrităţii datelor;
- constrîngerile de integritate (constraints) – obiecte pentru asigurarea integrităţii logice a datelor;
- utilizatori (users), care dispun de acces la BD;
- atribuţii (roles) – care permit clasificarea utilizatorilor în grupuri;
- regulile BD (rules) – controlează integritatea logică a datelor;
- setări automate (defaults) sau standard ale BD.
2) Cerinţe securităţii informaţiei privind tipurile principale de risc pentru bazele de date
Pentru a asigura securitatea informaţiei BD trebuie să fie identificate şi evaluate în mod obligatoriu riscurile legate cu informaţia şi operaţii în BD:
- riscuri operaţionale;
- riscuri ale tehnologiilor informaţiei;
- riscuri ale mediului de control neadecvat realizat;
- riscuri legate de criteriile integrităţii, accesibilităţii, confidenţialităţii şi corectitudinii informaţiei conţinute în BD;
- riscuri de forţă majoră.
3) Cerinţe privind riscurile operaţionale
Riscurile operaţionale sînt riscuri ale pierderilor directe sau indirecte (utilizarea ineficientă sau fără rezultate a resurselor), condiţionate de erorile sau imperfecţiunea proceselor de administrare din cadrul unei autorităţi concrete a administraţiei publice, precum şi de erorile sau de calificarea insuficientă a personalului organizaţiei.
Riscurile operaţionale care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- riscurile de nivel organizaţional:
a) absenţa sau lacunele documentelor de reglementare a obiectivelor şi sarcinilor nivelurilor strategic şi tactic pentru autoritatea administraţiei publice;
b) absenţa sau lacunele documentelor de reglementare asigurării securităţii în cadrul BD;
c) controlul insuficient asupra asigurării nivelului de securitate în cadrul BD;
- riscurile legate de erorile personalului, care atrag următoarele consecinţe:
a) violarea confidenţialităţii, violarea integrităţii, corectitudinii datelor din BD;
b) divulgarea datelor conţinute în BD;
c) distrugerea echipamentului sau a datelor din BD;
d) neglijenţa în manipularea datelor din BD;
e) modificarea/denaturarea datelor păstrate în BD;
f) pierderea/sustragerea datelor din BD.
4) Cerinţe privind riscurile tehnologiilor informaţiei
Riscurile tehnologiilor informaţiei sînt riscuri ale pierderilor legate de aplicarea incorectă sau de imperfecţiunea proceselor de management ale tehnologiilor informaţiei sau a componentelor infrastructurii şi activelor informaţionale utilizate în cadrul autorităţilor administraţiei publice. Riscurile tehnologiilor informaţiei sînt condiţionate de deranjamentele în funcţionarea sistemelor sau de defectarea acestora şi de capacitatea insuficientă a sistemelor, canalelor de comunicaţii.
Riscurile tehnologiilor informaţiei care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor trebuie să includ următoarele:
- riscuri legate de realizarea proceselor de management ale tehnologiilor informaţiei:
a) absenţa unor procese documentate de management ale tehnologiilor informaţiei;
b) absenţa răspunderii formalizate pentru activele informaţionale;
c) absenţa sistemului de monitorizare a procesului de realizare a obiectivelor tehnologiilor informaţiei în conformitate cu obiectivele şi sarcinile autorităţii administraţiei publice;
- riscurile legate de hardware:
a) pierderea datelor păstrate în BD;
b) defecţiunea în funcţionarea BD;
c) pierderea integrităţii BD;
d) utilizarea conexiunii existente la BD prin reţea, stabilită de un utilizator autorizat;
e) defectarea serverului BD;
- riscuri ce survin la toate etapele ciclului de viaţă al BD:
a) nivelul insuficient de susţinere şi deservire a BD;
b) accesul nesancţionat la informaţia protejată din BD;
c) modificarea nesancţionată a listei de utilizatori şi a drepturilor lor de acces la BD;
d) manipularea datelor din BD;
e) inaccesibilitatea datelor şi obiectelor BD;
f) defecţiunea în procesul de deservire a BD;
g) pierderea integrităţii informaţiei BD, care trebuia să fie protejată.
5) Cerinţe privind riscurile mediului de control neadecvat realizat
Riscurile mediului de control neadecvat realizat sînt riscuri legate de sistemul controlului intern incapabil să depisteze şi să corecteze la timp acţiunile cu caracter nesancţionat sau de fraudă, semnificative atît individual cît şi colectiv, şi/sau să împiedice survenirea acestui tip de încălcări.
Riscurile mediului de control neadecvat realizat care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor trebuie să includ următoarele:
- încălcările sistemului de control asupra accesului în BD;
- sustragerea datelor din BD;
- abuzurile legate de accesul la distanţă la BD;
- accesul nesancţionat la informaţia protejată a BD;
- pericolele generate de personal în procesul de deservire/management al bazelor de date;
- pericolele generate de specialiştii ce prestează servicii de externalizare, atraşi pentru deservirea elementelor BD;
- potrivirea sau spargerea parolelor utilizatorilor autorizaţi ai BD;
- abuzurile de drepturile utilizatorilor BD;
- software-ul maliţios;
- copierea nesancţionată a purtătorilor de date ale BD;
- intrarea în BD evitînd sistemul de autentificare;
- lansarea nesancţionată a scanerelor BD;
- manipularea datelor sau a software-ului BD;
- încălcarea imposibilităţii de refuz în procesul de schimb de date critice.
6) Cerinţe privind riscurile legate de criteriile integrităţii, accesibilităţii şi confidenţialităţii informaţiei conţinute în bazele de date
Riscurile legate de criteriile integrităţii, accesibilităţii şi confidenţialităţii informaţiei conţinute în BD sînt riscuri ce survin în urma prelucrării şi furnizării unei informaţii incorecte sau denaturate şi sînt legate de divulgarea, modificarea informaţiei şi defectarea capacităţii de lucru a BD în procesul de accesare a datelor ce se conţin în BD respective.
Riscurile care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- riscurile legate de criteriul confidenţialităţii informaţiei:
a) accesul nesancţionat la datele conţinute în BD;
b) distrugerea, deteriorarea sau sustragerea purtătorilor de informaţie a BD;
c) interceptarea datelor BD în procesul de transmitere a acestor date prin canalele de telecomunicaţii;
d) abuzurile de privilegiile utilizatorilor;
- riscurile legate de criteriul integrităţii informaţiei:
a) furtul de date conţinute în BD;
b) introducerea unor date incorecte în BD;
c) modificarea nesancţionată a datelor sau obiectelor în BD;
- riscurile legate de criteriul accesibilităţii informaţiei:
a) dereglarea infrastructurii ce susţine funcţionarea BD;
b) erorile comise în procesul de configurare a sistemului de gestiune al bazelor de date (SGBD);
c) distrugerea sau deteriorarea mijloacelor tehnice;
- riscurile legate de criteriul siguranţei (corectitudinii) informaţiei:
a) modificarea/denaturarea nesancţionată a informaţiei şi respectiv a rezultatelor necesare;
b) prelucrarea funcţională sau prezentarea insuficientă şi incorectă a informaţiei necesare;
c) nerespectarea limitelor temporare pentru executarea lucrărilor;
d) neglijenţa în manipularea datelor din BD;
e) pierderea actualităţii informaţiei la momentul utilizării acesteia;
f) erorile comise în procesul de prelucrare a informaţiei neautentice;
g) violarea integrităţii/accesibilităţii datelor.
7) Cerinţe privind riscurile de forţă majoră
Riscurile de forţă majoră sînt riscuri legate de evenimentele nemijlocite legate de natură, precum şi de cele cu caracter tehnogen şi social.
Riscurile legate de circumstanţele de forţă majoră care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- dereglarea sistemelor informaţionale şi ale BD ale autorităţilor administraţiei publice;
- pierderea datelor din BD din cauza influenţei unor cîmpuri magnetice puternice;
- deconectarea energiei electrice;
- calamităţile naturale, incendiile;
- defectarea reţelei în raza unui teritoriu mare al autorităţii administraţiei publice;
- imposibilitatea de a restabili în întregime datele din BD.
8) Cerinţe faţă de securitatea informaţiei privind vulnerabilităţile principale ale bazelor de date
Vulnerabilităţile principale care permit realizarea pericolelor securităţii ce vizează BD trebuie să fie analizate în conformitate cu următoarele criterii:
- procesele organizate incorect:
a) delimitarea imprecisă a obligaţiilor privind asigurarea securităţii BD;
b) testarea insuficientă a mijloacelor software ale BD;
c) realizarea insuficientă sau elaborarea incorectă a politicii de securitatea a BD;
d) complexitatea structurii BD;
- absenţa controalelor:
a) urmărirea insuficientă a acţiunilor insaiderilor;
b) evidenţa necorespunzătoare a utilizatorilor care dispun de acces liber la resursele de reţea;
c) controlul insuficient asupra parolelor;
d) dificultăţile sau absenţa monitorizării activităţii utilizatorilor şi administratorilor BD;
e) nivelul insuficient de verificare a participanţilor şi aplicaţiilor conexiunii la BD;
f) absenţa controlului asupra copierii de rezervă a BD;
- nivelul insuficient al profesionalismului colaboratorilor:
a) utilizarea automată a înregistrărilor de evidenţă şi a parolelor nesigure;
b) insuficienţa resurselor;
c) utilizarea necorespunzătoare a configuraţiilor;
d) organizarea incorectă a schimbului de date ale utilizatorilor cu BD;
e) administrarea neprofesională sau nesatisfăcătoare a SGBD;
f) utilizarea insuficientă sau incorectă a mijloacelor standard de asigurare a securităţii informaţiei a BD;
- insuficienţa mijloacelor hardware şi software pentru realizarea securităţii informaţiei a BD:
a) utilizarea datelor de autentificare utilizate în cadrul sistemelor operaţionale;
b) abuzul de împuterniciri;
c) erorile din componentele software-ului BD (de exemplu, supraîncărcarea clipboard-ului);
d) izolarea insuficientă (internă şi externă) de reţea;
e) absenţa sau insuficienţa nivelului de protecţie împotriva accesului nesancţionat;
f) metoda sau mijlocul necalitativ de păstrare a informaţiei în BD;
g) absenţa garanţiei confidenţialităţii şi integrităţii informaţiei transmise;
h) existenţa unor vulnerabilităţi ale sistemelor operaţionale şi protocoalelor de reţea utilizate.
7. Cerinţe faţă de măsurile şi mijloacele de asigurare a securităţii informaţiei a bazelor de date în cadrul abordării structurate
1) Cerinţe privind identificarea, autentificarea şi autorizarea accesului
Mecanismele de identificare, autentificare şi autorizare trebuie să permită prevenirea următoarelor tipuri de pericole:
- accesul neautorizat la BD;
- utilizarea conexiunilor neprotejate şi a porturilor deschise.
Pentru a asigura securitatea informaţiei a BD mecanismele de identificare, autentificare şi autorizare a BD trebuie să corespundă următoarelor cerinţe:
- este necesar de aplicat diverse metode de autentificare şi de utilizat una sau mai multe metode în mod simultan:
a) pentru autentificarea cu ajutorul mijloacelor sistemului operaţional este necesar de utilizat datele de evidenţă de reţea, în principal pentru autentificarea administratorilor SGBD;
b) pentru autentificarea cu ajutorul mijloacelor BD este necesar de utilizat parole sigure;
c) autentificarea trebuie să fie realizată cu ajutorul serviciilor de reţea;
d) autentificarea este obligatorie în cadrul aplicaţiilor cu mai multe niveluri;
- pentru fiecare utilizator al BD este necesar de ţinut următoarea listă cu atribute de securitate: identificatorul utilizatorului BD şi privilegiile accesului la obiectul BD;
- autentificarea administratorului BD trebuie supusă unei proceduri speciale determinată de natura specifică a sarcinilor îndeplinite;
- este necesar de aplicat criptarea parolelor în scopul unei transmiteri în siguranţă prin reţea;
- toate datele de autentificare ale utilizatorilor şi cheile de criptare trebuie să fie păstrate în format criptat;
- este necesar de definit procedurile de stabilire, solicitate, activare, blocare şi eliminare a înregistrărilor de evidenţă a utilizatorilor BD;
- trebuie să existe două tipuri de înregistrări de evidenţă a BD: înregistrarea de evidenţă a proprietarului schemelor şi înregistrarea de evidenţă a aplicaţiilor, pentru a se exclude posibilitatea de acces manual neautorizat la BD;
- fiecare utilizator al BD trebuie să fie autentificat cu succes pînă la autorizarea oricărei alte acţiuni în numele acestui utilizator;
- trebuie să existe posibilitatea de a refuza deschiderea şedinţei în BD pentru utilizator, reieşind din drepturile acestuia.
Cerinţele privind înregistrările de evidenţă ale proprietarilor includ următoarele:
- proprietarul schemelor trebuie să dispună de cod PIN unic (numărul de identificare personal);
- codul PIN trebuie să permită accesul la schemele tabelelor din BD şi la obiectele BD;
- doar administratorul BD trebuie să deţină drepturi de sistem pentru crearea tabelelor şi procedurilor;
- doar administratorii BD trebuie să cunoască codul PIN;
- informaţia despre codurile PIN nu trebuie să fie păstrată la staţiile de lucru sau să fie transmise de către administratorii de sistem.
Este necesar de respectat următoarele cerinţe privind înregistrările de evidenţă ale aplicaţiilor:
- trebuie să existe lista înregistrărilor de evidenţă a aplicaţiilor şi este necesar de efectuat actualizarea acesteia;
- înregistrările de evidenţă ale aplicaţiilor trebuie să fie utilizate de serverele de aplicaţii pentru conectarea la diferite servicii şi BD;
- înregistrările de evidenţă ale aplicaţiilor nu trebuie să dispună de drepturi de creare şi modificare a tabelelor existente;
- toate modificările în cadrul schemelor trebuie să fie efectuate de administratorul BD cu ajutorul înregistrării de evidenţă a proprietarilor de scheme sau a codului PIN;
- parola aplicaţiei trebuie să fie păstrată în mapa cu configuraţii care trebuie să se afle pe serverul aplicaţiilor;
- accesul la servere şi la mapele cu aplicaţii trebuie să fie limitat doar pentru administratorii BD;
- managementul manual al BD trebuie să fie realizat de administratorii BD.
Pentru BD aplicate trebuie să fie elaborate, documentate şi periodic actualizate procedura de identificare şi autentificare, precum şi măsurile legate de implementarea acesteia.
Procedura de identificare şi autentificare a BD trebuie să includă în mod obligatoriu următoarele:
- cerinţele privind crearea şi utilizarea înregistrărilor de evidenţă, inclusiv a înregistrărilor de evidenţă a posesorilor de scheme şi aplicaţii care au acces la BD;
- cerinţele privind managementul parolelor.
2) Cerinţe privind managementul accesului în bazele de date
În cadrul asigurării securităţii informaţiei BD managementul accesului trebuie să asigure protecţia şi delimitarea accesului la datele critice şi la aplicaţiile BD şi să permită de a reduce riscul erorilor, fraudelor, utilizării incorecte şi modificării neautorizate.
Este necesar de respectat cerinţele privind managementul şi delimitarea accesului la BD:
- este necesar de stabilit lista de utilizatori şi de operaţii care necesită utilizarea obiectelor BD în vederea prevenirii fraudelor şi incidentelor de securitate;
- managementul accesului trebuie să fie realizat pentru subiecţii, obiectele şi operaţiile BD;
- managementul accesului trebuie să se bazeze pe separarea împuternicirilor conform acţiunilor;
- accesul la date trebuie să fie obţinut doar de utilizatorul care a susţinut procedura de identificare şi autentificare;
- utilizatorul, inclusiv administratorii, trebuie să dispună doar de accesul la obiectele şi resursele necesare în conformitate cu funcţia deţinută;
- este necesar de utilizat mijloacele şi metodele speciale care asigură delimitarea sigură a accesului;
- este necesar de prevenit manipularea BD şi apelarea la alte aplicaţii ale administratorului aplicaţiilor;
- este necesar de efectuat verificarea şi ajustarea drepturilor de acces ale utilizatorilor în conformitate cu responsabilităţile acestora;
- este necesar de asigurat controlul asupra accesului la BD, inclusiv controlul logic asupra:
a) intrărilor, ieşirilor şi acţiunilor utilizatorilor BD;
b) privilegiilor şi drepturilor de sistem, precum şi asupra modificărilor lor;
c) privilegiilor obiectelor critice ale BD;
d) accesului la datele critice şi la obiectele BD;
- este necesar de aplicat mijloace de protecţie discretă, care asigură delimitarea accesului între subiecţii nominalizaţi şi obiectele nominalizate;
- este necesar de aplicat mijloace de protecţie în bază de mandat, care asigură delimitarea accesului subiectelor la obiectele datelor, bazată pe categoriile de protecţie a informaţiei.
3) Cerinţe privind sistemele de gestiune ale bazelor de date din perspectiva ciclului de viaţă a resursei informaţionale
Susţinerea pentru crearea BD ale autorităţilor administraţiei publice, pentru managementul centralizat şi organizarea accesului diferitor utilizatori la aceste BD în procesul de prestare a serviciilor publice trebuie să fie asigurată de SGBD.
SGBD trebuie să corespundă următoarelor cerinţe:
- să fie proiectat şi edificat astfel încît să se asigure următoarele:
a) fişierele de program ale SGBD să nu fie accesibile în reţea;
b) la fişierele BD de pe server să nu existe acces în reţea;
c) utilizatorii să obţină accesul la datele şi obiectele păstrate în BD doar prin intermediul SGBD;
d) datele din BD să fie criptate pentru a se exclude accesul nesancţionat la acestea;
- să asigure păstrarea în siguranţă a datelor din BD, ceea ce presupune protecţia împotriva defectărilor şi erorilor, precum şi împotriva accesului nesancţionat;
- să menţină integrarea deplină cu modulele hardware de securitate pentru a asigura un nivel înalt de protecţie;
- să asigure o criptare transparentă perfecţionată a datelor din BD în vederea susţinerii criptării spaţiilor tabelare;
- să menţină utilizarea parolelor compuse şi a algoritmelor sigure de funcţii „hash” (hashing) ale parolelor;
- să menţină o autentificare strictă a utilizatorilor privilegiaţi.
4) Cerinţe privind copierea de rezervă şi restabilirea bazelor de date
Pentru excluderea cazurilor de stopare a funcţionării BD ca rezultat al apăriţiei defectelor care încalcă integritatea lor, trebuie să fie efectuate copierea de rezervă şi restabilirea BD.
Este necesar de efectuat copierea de rezervă a BD nemijlocit înainte şi după introducerea următoarelor modificări în BD:
- crearea şi eliminarea spaţiului tabelar;
- adăugarea sau permutarea fişierului cu date în spaţiul tabelar existent;
- adăugarea, permutarea sau eliminarea grupului de date.
Copierea de rezervă a BD trebuie să fie efectuată după cum urmează:
- copierea de rezervă doar a fişierului de administrare a BD;
- copierea de rezervă totală a BD.
Pentru copierea de rezervă a BD şi restabilirea integrităţii este necesar de respectat următoarele cerinţe:
- toate BD şi informaţia critică legată de acestea trebuie să fie supuse periodic copierii de rezervă;
- este necesar de asigurat integritatea, autenticitatea şi controlul asupra copiilor BD de rezervă şi de asigurat accesul la acestea doar pentru personalul abilitat;
- copiile de rezervă trebuie să fie supuse criptării;
- este necesar de verificat, o dată în trei luni, listele de acces la copiile de rezervă ale BD;
- pentru a asigura posibilitatea de restabilire a BD, este necesar ca operaţiile legate de BD să fie executate în întregime sau să nu mai fie executate;
- este necesar de stabilit termenul necesar pentru restabilirea informaţiei critice şi a obiectelor BD şi de elaborat planurile de restabilire;
- operaţiile trebuie să permită posibilitatea readucerii la starea iniţială;
- este necesar de asigurat posibilitatea copierii procesului de executare a operaţiilor legate de BD;
- rezultatele copierii operaţiilor trebuie să fie înregistrate în registrul de sistem;
- în caz de survenire a unei defecţiuni este necesar de a dispune de posibilitatea de a efectua restabilirea într-o anumită poziţie temporară (punct de control);
- este necesar de a efectua operaţia de derulare (reproducerea rezultatelor efectuării tranzacţiei cu ajutorul registrului de sistem) pentru restabilirea BD.
Restabilirea BD trebuie să fie efectuată la trei niveluri diferite:
- restabilirea operativă – restabilirea la nivelul anumitor operaţii în condiţiile terminării anormale a situaţiei de manipulare a datelor (de exemplu, în caz de eroare în software);
- restabilirea temporară – restabilirea situaţiei tuturor operaţiilor efectuate la momentul survenirii deranjamentelor (de exemplu, erorile de sistem şi de program, erorile de software, care nu sînt legate de distrugerea BD);
- restabilirea de lungă durată – restabilirea cu ajutorul copiilor de pe BD în caz de distrugere a acestora şi readucerea sistemului la situaţia de pînă la distrugere.
5) Cerinţe privind protecţia antivirus a bazelor de date
Pentru a asigura securitatea informaţiei, trebuie să se asigure protecţia antivirus, mijloacele cărora trebuie să corespundă următoarelor cerinţe:
- trebuie să fie efectuat controlul permanent în regim de timp real asupra fişierelor BD;
- trebuie să fie verificat, în regim de timp real, la cerere, întregul sistem de fişiere, precum şi toate obiectele din sistemul de fişiere;
- trebuie să fie depistat viruşii şi codul maliţios în fişierele componente ale BD;
- trebuie să fie asigurată posibilitatea alegerii diferitelor acţiuni în caz de depistare a unui virus sau cod maliţios: blocarea accesului la fişier, înregistrarea în registru, ştergerea, redenumirea sau instalarea carantinei, tratarea fişierelor contaminate.
- trebuie să fie asigurată posibilitatea managementului la distanţă;
- este necesar de asigurat posibilitatea de a planifica lansarea sarcinilor şi executarea acţiunilor;
- trebuie să fie asigurată posibilitatea de a exclude în mod flexibil fişiere, domenii, procese din procesul de verificare;
- trebuie să fie asigurată frecvenţa sporită de emitere a actualizărilor;
- trebuie să fie asigurată posibilitatea de a executa actualizările în mod manual la cerere sau în mod automat conform graficului;
- trebuie să fie asigurată posibilitatea de a efectua reculul actualizărilor bazelor antivirus;
- staţiile de lucru la care se realizează conectarea la BD trebuie să fie dotate cu software antivirus;
- trebuie să fie asigurată notificarea administratorului BD despre toate evenimentele importante;
- trebuie să fie asigurată notificarea utilizatorilor despre tentativele de acces la fişierele contaminate;
- trebuie să fie asigurată vizualizarea statisticii şi contoarelor de productivitate în regim de timp real.
La mijloacele de protecţie a factorilor nocivi pentru serverele BD trebuie să fie atribuite următoarele mijloace de funcţionare continuă şi lansare periodică:
- scanerul antivirus la acces;
- scanerul antivirus la cerere;
- mijloacele de actualizare a bazelor antivirus.
6) Cerinţe privind controlul asupra integrităţii bazelor de date
Asigurarea integrităţii BD constă în:
- protejarea datelor din BD împotriva modificărilor incorecte şi nesancţionate, precum şi împotriva distrugerilor;
- asigurarea corectitudinii atît a valorilor tuturor elementelor datelor, precum şi a legăturilor dintre elementele datelor din BD, în procesul de păstrare, transmitere, prelucrare şi copiere de rezervă.
Pentru a menţine integritatea trebuie să fie recomandate de respectat următoarele cerinţe de bază:
- nivelul integrităţii BD – integritatea BD trebuie să fie asigurată la trei niveluri;
a) nivelul tipului de date (corespunderii tipurilor de date);
b) nivelul cheilor (de exemplu, corespunderea cheilor primare cu cele externe);
c) nivelul trigger-elor, procedurilor şi/sau funcţiilor (de exemplu, trigger-ele sînt responsabile doar de domeniile lor de date);
- protecţia antivirus –este necesar de aplicat măsuri de prevenire, depistare şi distrugere a codului maliţios;
- asigurarea autenticităţii:
a) informaţia trebuie să fie introdusă în fiecare element al datelor în strictă conformitate cu descrierea elementului respectiv;
b) trebuie să fie prevăzute mecanisme pentru asigurarea rezistenţei elementelor datelor şi a relaţiilor logice între acestea la erorile sau acţiunile necalificate ale utilizatorilor;
- gestionarea paralelismului:
a) trebuie să fie prevăzute mijloace de gestionare a datelor care să asigure menţinerea integrităţii BD în procesul de executare concomitentă a mai multe operaţii;
b) numărul maxim de şedinţe paralele cu BD permise unui singur utilizator al BD trebuie să fie limitat şi stabilit în prealabil;
- restabilirea:
a) datele păstrate în BD trebuie să fie stabile faţă de influenţele fizice nefavorabile (de exemplu, erorile de echipament, întreruperile în alimentare) şi de erorile din software;
b) trebuie să fie prevăzute mecanisme pentru restabilirea în termene minime a situaţiei BD de pînă la survenirea defecţiunii.
În mod obligatoriu trebuie să fie identificate şi analizate urmăroarele surse ale încălcării integrităţii datelor:
- defectările echipamentului, influenţele fizice sau calamităţile;
- erorile utilizatorilor autorizaţi sau acţiunile deliberate ale utilizatorilor neautorizaţi;
- erorile de program ale SGBD sau ale sistemelor operaţionale;
- erorile din programele aplicative;
- executarea în comun a solicitărilor conflictuale ale utilizatorilor.
Conform criteriului integrităţii informaţiei, este necesar nu doar de a nu permite violarea integrităţii BD, dar şi de depistat la timp actul de violare a integrităţii şi de restabilit în regim operativ integritatea după violare.
7) Cerinţe privind criptarea datelor în bazele de date ce nu conţin informaţii care se atribuie la secret de stat
În cadrul asigurării securităţii informaţiei BD criptarea datelor în BD trebuie să asigure protecţia împotriva accesului nesancţionat şi violarea integrităţii datelor, precum şi în procesul de transmitere a datelor prin reţele de comunicaţii electronice.
Criptarea datelor în BD trebuie să corespundă următoarelor cerinţe:
- este necesar de determinat porţiunile de date din BD a căror criptare este rezonabilă;
- este necesar de aplicat diferite algoritme simetrice şi asimetrice de criptare;
- lungimea textului criptat trebuie să fie egală cu lungimea textului iniţial;
- elementele de structură ale algoritmului de criptare trebuie să fie invariabile;
- este necesar de asigurat corectarea necesară a tipurilor şi dimensiunilor cîmpurilor tabelelor din BD în procesul criptării;
- este necesar de asigurat integritatea şi controlul strict asupra distribuirii cheilor criptografice;
- pentru datele din BD cu nivel înalt de securitate este necesar de efectuat schimbarea cheilor pînă la expirarea termenului lor de acţiune, după care este necesar de efectuat criptarea repetată a datelor din BD cu ajutorul cheilor noi. În funcţie de volumul BD, criptarea repetată a datelor BD ar putea afecta disponibilitatea acestora pentru o perioadă mare de timp;
- este necesar de asigurat posibilitatea de a efectua criptarea selectivă a spaţiului tabelar al BD;
- criptarea datelor trebuie să se efectueze pe serverul BD sau pe un server separat pentru criptare, şi în nici un caz la client.
8) Cerinţe privind auditul şi monitorizarea bazelor de date
La efectuarea auditului şi monitorizării securităţii BD este necesar de asigurat existenţa sau disponibilitatea:
- politicii de restabilire a BD în caz de avarie;
- procedurilor de supraveghere pentru urmărirea accesului nesancţionat sau a modificării datelor;
- confirmării corespunderii cu standardele şi cerinţele securităţii;
- sistemului de securitate a SGBD pentru confirmarea drepturilor de acces şi verificarea împuternicirilor utilizatorilor (de exemplu, autentificarea Windows);
- politicii de control asupra accesului;
- colaboratorului desemnat şi responsabil de securitate (de exemplu, managerul de securitatea BD);
- politicii de securitate a BD înainte de aplicarea acesteia;
- procesului de copiere de rezervă regulată a întregului software al BD;
- procesului de asigurare a continuităţii în funcţionarea BD;
- controlului strict asupra corespunderii dintre mediul de exploatare şi de testare şi versiunea BD.
Auditul şi monitorizarea BD trebuie să includă următoarele componente de bază:
- auditul accesului/autentificării:
a) este necesar de verificat lista de persoane şi sisteme accesibile pentru persoanele respective, timpul şi modalitatea de acces;
b) fiecare eveniment supus potenţial auditului BD trebuie să fie asociat cu identificatorul utilizatorului BD care a fost iniţiatorul evenimentului respectiv;
c) doar persoanele abilitate au acces la registrele de audit;
d) este necesar de creat un raport privind tentativele eşuate de apelare la obiectele BD pe motiv de insuficienţă de privilegii sau din cauza absenţei obiectelor respective;
- auditul utilizatorilor/administratorilor:
a) este necesar de verificat activitatea atît a utilizatorilor cît şi a administratorilor în interiorul BD;
b) este necesar de asigurat existenţa mijloacelor incorporate de audit şi de control asupra acţiunilor utilizatorilor în SGBD;
c) toate acţiunile cu datele critice din BD trebuie să fie protocolate:
- accesul la date;
- evenimentele de înregistrare/ieşire;
- modificarea structurii BD;
d) administratorul BD trebuie să fie izolat de managementul auditului;
e) este necesar de creat un raport despre erorile în procesul de operare a utilizatorilor cu BD supravegheată;
- avertizarea de securitate:
a) este necesar de identificat şi de semnalizat orice acces suspect, neordinar sau de avarie la datele critice şi la sisteme;
b) registrul evenimentelor legate de operaţii de web, registrul de securitate a firewall-ului, registrul conexiunilor deschise cu BD, registrul evenimentelor de sistem trebuie să fie identificare de serverele de web, de firewall-uri, de aplicaţii şi de serverul BD;
- existenţa rapoartelor privind următoarele direcţii de activitate:
a) raportul general privind conexiunile realizate cu BD vizată trebuie să conţină:
- denumirea BD cu care a fost stabilită conexiunea;
- numele utilizatorului BD;
- adresa IP şi denumirea staţiei de lucru la care a fost stabilită conexiunea;
- numele local al utilizatorului la staţia sa de lucru;
- denumirea software-ului cu ajutorul căruia a fost stabilită conexiunea, dacă aceasta este posibil;
- ora lansării şedinţei utilizatorului în BD;
- durata şedinţei utilizatorului în BD;
- starea conexiunii (activă, neactivă, în faza de expirare);
b) raportul privind apelurile la obiectul specificat şi operaţiile în privinţa acestuia trebuie să conţină:
- denumirea bazei de date în cadrul căruia se efectuează auditul;
- intervalul de timp în decursul căruia se va efectua auditul;
- adresa IP a clientului, de la care se vor efectua solicitările;
- programul-client din care se vor efectua solicitările;
- numele utilizatorului BD;
- operatorul limbajului solicitărilor, care poate prezenta interes pentru utilizator;
- obiectele BD la care se asigură accesul şi care conţin informaţie critică;
c) raportul privind conexiunile privilegiate (de exemplu, şedinţele efectuate cu ajutorul rolului de sistem, şedinţele efectuate de utilizatorii de sisteme «sys», «system», şedinţele în care au fost fixate solicitări de modificare a structurii BD);
d) raportul privind tentativele eşuate de conectare la BD din cauza introducerii greşite a numelui utilizatorului sau a parolei demonstrează tentativele de atac asupra SGBD.
9) Cerinţe faţă de mecanismele monitorizării în bazele de date
Mecanismele monitorizării BD trebuie să micşoreze cantitatea erorilor. Resursele limitate, factorul uman sau testarea insuficientă a aplicaţiilor facilitează apariţia punctelor slabe ale BD.
Mecanismele monitorizării BD trebuie să asigure informaţia referitoare la categoriile datelor utilizate, poziţionarea acestora şi metodele de protecţie a aplicaţiilor interconexe, precum şi să asigure integritatea şi veridicitatea datelor necontradictorii.
Mecanismul de bază de monitorizare a BD îl reprezintă politica de monitorizare a BD, prin intermediul căreia trebuie să fie determinate:
- atît monitorizare unică a BD, cît şi în regim automat la intervale de timp prestabilite;
- actualizarea planului de monitorizare integral, sau numai a obiectelor a căror informaţie a suferit modificări în BD;
- asigurarea integrităţii şi înregistrării setărilor monitorizării;
- realizarea protocolului procesului de monitorizare şi revizuirea protocolului cu posibilitatea filtrării înregistrărilor, asigurarea integrităţii protocolului.
Mecanismele de monitorizare a BD sînt:
- automatizarea deservirii şi evidenţei;
- documentarea structurii BD;
- verificarea copiei de rezervă;
- evidenţa şi analiza registrului de erori;
- analiza eficacităţii BD;
- analiza accesibilităţii serviciilor;
- analiza tendinţelor de modificare a parametrilor de monitorizare;
- arhivarea datelor;
- analiza riscurilor informaţionale.
- monitorizarea punctelor vulnerabile/pericolelor:
a) este necesar de depistat punctele vulnerabile din BD;
b) controlul asupra BD trebuie să includă auditul securităţii de reţea şi auditul securităţii sistemelor de aplicaţie;
c) este necesar de asigurat posibilitatea de efectuare a controlului post-factum şi în regim de timp real în scopul reacţionării operative;
d) este necesar de utilizat scanerele BD pentru a depista punctele vulnerabile;
- verificarea modificărilor:
a) este necesar de stabilit baza pentru BD (configuraţia, schema, utilizatorii, privilegiile şi structura) şi ulterior de urmărit devierile în raport cu baza respectivă;
b) toate modificările legate de BD trebuie să fie urmărite în mod permanent şi supuse unei verificări periodice;
c) este necesar de înregistrat toate modificările în registrele de controale şi verificări, care sunt introduse în BD de fiecare operaţie, în vederea restabilirii BD.
10) Cerinţe privind monitorizarea a traficului de solicitării faţă de bazele de date
Securitatea informaţiei cu aplicarea mijloacelor de monitorizare a traficului tuturor solicitărilor privind BD trebuie să fie asigurată doar pentru datele cu nivel înalt de securitate.
La utilizarea mijloacelor de monitorizare a traficului de solicitări faţă de BD este necesar de respectat următoarele cerinţe:
- de efectuat controlul întregului trafic în direcţia de la utilizatori spre serverul BD, incluzînd solicitările locale;
- de fixat orice apel către BD;
- de efectuat controlul asupra:
a) volumului datelor transferate;
b) aplicaţiei utilizate pentru apelarea la BD;
- de asigurat posibilitatea de a instala un filtru pentru depistarea anumitor cuvinte în solicitarea faţă de BD;
- de efectuat controlul asupra sarcinilor suplimentare ale serverelor BD;
- de efectuat controlul asupra reţinerilor în parcurgerea traficului.
11) Cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a bazelor de date
Pentru realizarea proceselor de asigurare a securităţii informaţiei a BD în procesul de prestare a serviciilor publice trebuie să fie efectuată delimitarea exactă a responsabilităţii şi împuternicirilor legate de realizarea datelor.
În procesul de asigurare a securităţii informaţiei a BD este necesar de delimitat împuternicirile în conformitate cu următoarele acţiuni:
- utilizarea BD;
- introducerea datelor de intrare în BD;
- operaţiile cu BD;
- managementul reţelei aferente BD;
- managementul BD,
- crearea şi susţinerea BD;
- managementul modificărilor în BD;
- managementul securităţii BD;
- auditul securităţii BD.
Subdiviziunile şi colaboratorii din cadrul autorităţilor administraţiei publice trebuie să-şi execute obligaţiunile privind asigurarea securităţii informaţiei a BD în conformitate cu documentele organizatorico-dispozitive elaborate şi aprobate de conducere (prevederi, instrucţiuni, responsabilităţi, liste, formulare).
Pentru realizarea şi susţinerea măsurilor corespunzătoare de asigurare a securităţii informaţiei a BD trebuie să fie stabilite următoarele roluri:
- conducerea – poartă răspundere deplină pentru elaborarea şi susţinerea politicii de securitate, stabilind modul general de abordare a securităţii şi a controlului intern asupra resurselor informaţionale ale organizaţiei;
- administratorul BD este responsabil de:
a) instalarea şi actualizarea versiunii SGBD şi a versiunii instrumentelor aplicative;
b) crearea structurilor primare de memorie (spaţii tabelare) şi a obiectelor BD;
c) modificarea structurii BD în conformitate cu necesităţile noi;
d) introducerea utilizatorilor şi învestirea lor cu drepturi;
e) managementul şi urmărirea accesului utilizatorilor la BD;
f) urmărirea şi optimizarea eficienţei BD;
g) planificarea şi efectuarea copierii de rezervă şi a restabilirii BD;
h) menţinerea integrităţii datelor de arhivă ale BD;
- proprietarii obiectelor BD (utilizatori privilegiaţi):
a) dispun de împuterniciri depline în privinţa obiectelor create de ei;
b) poartă răspundere pentru managementul şi urmărirea accesului utilizatorilor la BD;
c) poartă răspundere pentru managementul accesului la obiectul creat;
d) poartă răspundere pentru susţinerea măsurilor aplicate de securitate a obiectului creat;
- custozii BD – poartă răspundere pentru integritatea copiilor de rezervă de pe BD;
- utilizatorii finali ai BD:
a) dispun de un set strict limitat de privilegii de manipulare a datelor în BD;
b) poartă răspundere pentru toate acţiunile săvîrşite în numele înregistrărilor lor de evidenţă, în cazul cînd nu este demonstrat faptul că înregistrările respective de evidenţă au fost utilizate în mod nesancţionat;
- programatorii de programe aplicative poartă răspundere pentru crearea programelor ce utilizează BD;
- managerii pentru securitatea informaţiei poartă răspundere pentru managementul securităţii informaţiei a BD;
- auditorii securităţii BD:
a) asigură conformitatea proceselor de funcţionare şi securitate a BD cu cerinţele stabilite;
b) efectuează auditul accesului la BD, auditul modificărilor în structura BD şi auditul utilizării privilegiilor de sistem de orice natură.
Prezenta reglementare tehnică stabileşte cerinţele de asigurare a securităţii informaţiei a componentelor infrastructurii informaţionale (II), care permit asigurarea unei funcţionări sigure a tehnologiilor informaţiei în cadrul autorităţilor administraţiei publice.
Prezenta reglementare tehnică defineşte rolurile şi responsabilităţile aferente procesului de asigurare a securităţii informaţiei din cadrul autorităţilor administraţiei publice.
Prevederile prezentei reglementări tehnice se aplică pentru toate componentele II ale autorităţilor administraţiei publice în scopul asigurării unui nivel adecvat al securităţii informaţiei.
Prezenta reglementare este elaborată în baza următoarelor acte legislative şi normative ale Republicii Moldova:
- Legea cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- Legea privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
- Legea cu privire la documentul electronic şi semnătura digitală nr. 264-XV din 15.07.2004;
- Legea privind comerţul electronic nr. 284-XV din 22.07.2004;
- Legea privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006;
- Legea cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- Legea cu privire la registre nr. 71-XVI din 22.03.2007;
- Legea comunicaţiilor electronice nr. 241-XVI din 15.11.2007;
- Legea cu privire la secretul de stat nr. 245-XVI din 27.11.2008.
În prezenta reglementare sînt utilizaţi următorii termeni:
Arhitectura infrastructurii informaţionale – setul de soluţii esenţiale privind organizarea infrastructurii informaţionale, precum şi setul de elemente şi interfeţe structurale din care constă infrastructura, împreună cu comportamentul descris în termenii cooperării acestor elemente.
Circuit extern – infrastructură publică care asigură interacţiunea cetăţenilor şi a mediului de afaceri cu autorităţile administraţiei publice.
Circuit intern – sisteme informaţionale care deservesc procesele din interiorul sistemului de administrare publică, inclusiv prestarea serviciilor interne structurilor şi funcţionarilor din administraţie atît la nivel central, cît şi la cel local.
Guvernare electronică – activităţile de guvernare realizate în baza utilizării tehnologiilor informaţiei şi de comunicaţii.
Management discret al accesului – delimitarea accesului între subiectele şi obiectele nominalizate.
Managementul accesului prin mandat - bazat pe compararea categoriilor de acces la obiectele (fişiere, mape, desene) cu autorizaţia oficială de acces al subiectului la informaţie.
Situaţie excepţională – întrerupere neplanificată a proceselor-business curente condiţionată de întreruperea survenită în activitatea infrastructurii informaţionale.
2.Cerinţe privind clasificarea structurii infrastructurii informaţionale
II reprezintă un sistem de formare, distribuire şi utilizare a tehnologiilor informaţiei-comunicaţionale care asigură interacţiunea autorităţilor administraţiei publice, oferind accesul la resursele informaţionale.
La categoria componentelor principale ale II sînt atribuite următoarele:
- hardware – un ansamblu de dispozitive electronice, electrice şi mecanice care fac parte din structura sistemelor informaţionale şi a reţelelor autorităţilor administraţiei publice. La categoria hardware sînt atribuite:
a) staţii de lucru, servere şi dispozitive logistice;
b) dispozitive externe şi aparataj de diagnosticare;
c) echipament energetic, baterii şi acumulatoare;
- sistemele operaţionale - asigură executarea programelor şi aplicaţiilor, distribuirea resurselor, planificarea, introducerea-extragerea şi gestionarea datelor, de asemenea, acestea determină grupul interdependent de protocoale de niveluri superioare care asigură funcţiile de bază ale reţelei:
a) direcţionarea obiectelor;
b) funcţionarea serviciilor;
c) asigurarea securităţii datelor;
d) managementul reţelei;
- bazele de date – un ansamblu de date coerente, organizate în baza unor reguli determinate care stabilesc principiile generale de descriere, păstrare şi prelucrare a datelor;
- reţeaua de comunicaţii electronice – permite adoptarea şi implementarea unei politici unice privind protecţia şi securitatea informaţiei, pentru interconectarea tuturor resurselor şi sistemelor informaţionale departamentale şi teritoriale, precum şi pentru prestarea unor servicii de înaltă calitate. Reţeaua de telecomunicaţii include mijloace de bază pentru prelucrarea informaţiei şi de comunicaţii electronice, la care sînt atribuite următoarele:
a) mijloace de marşrutizare şi de comutare a mediului de comunicaţii electronice;
b) canale fizice de telecomunicaţii şi transfer de date;
c) dispozitive informaţionale ale utilizatorilor finali;
- mijloacele de suport - asigură suportul pentru funcţionarea întregii II (de exemplu, mijloace de gestionare a eficienţei serverilor, mijloace de gestionare a păstrării datelor);
- mijloace multimedia - asigură apelul semnalului de televiziune pe monitor, ieşirea video mixtă, desfăşurarea imaginilor video vii pe monitor, filtrarea criptată şi scalabilizarea imaginilor video, comprimarea şi decomprimarea hardware-digitală a imaginilor video, precum şi accelerarea operaţiilor grafice legate de grafica tridimensională. Mijloacele multimedia operează cu cîteva tipuri de date multimedia:
a) text;
b) grafică;
c) efecte auditive;
d) imagini video;
e) fotografii;
- centrul de guvernare electronică, ale cărui sarcini principale sînt managementul proceselor tehnice şi tehnologice şi monitorizarea procesului de rezolvare a tuturor incidentelor înregistrate.
Componentele II trebuie să includă interacţiunea între subiecţii guvernării electronice desfăşurată pe două circuite care comunică între ele prin intermediul portalului guvernamental:
- circuitul intern – trebuie să includă sistemele informaţionale care deservesc procesele ce au loc în interiorul sistemului de administraţie publică, inclusiv acordarea serviciilor interne structurilor şi angajaţilor din cadrul administraţiei atît la nivel central cît şi la nivel local;
- circuitul extern - trebuie să includă infrastructura publică ce asigură interacţiunea cetăţenilor şi a mediului de afaceri cu autorităţile administraţiei publice prin intermediul portalului guvernamental.
Toate componentele II trebuie abordate ca o totalitate a trei spaţii autonome, dar legate între ele:
- spaţiul convenţional „central”, componentele căruia sînt generale, fiind necesare pentru funcţionarea întregii II;
- spaţiu convenţional „periferic” şi convenţional „auxiliar”, ale căror componente execută sarcini individuale ale II.
Din perspectiva racordării la reţeaua Internet, componentele II trebuie împărţite în:
- deschise - componentele II care pot fi accesate din Internet;
- închise - componentele II la care accesul din Internet trebuie să fie interzis.
Toate componentele II trebuie să fie compatibile între ele din punct de vedere informaţional şi tehnologic.
3. Cerinţe privind nivelurile infrastructurii informaţionale
Toate componentele ale II vor fi organizate în trei niveluri ierarhice:
- nivelul de prezentare – trebuie să asigure accesul utilizatorilor la serviciile guvernării electronice şi are la bază modelul care identifică acţiunile autorităţilor administraţiei publice din punctul de vedere al funcţiilor şi modului de realizare a acestor funcţii. Modelul trebuie să descrie obligaţiunile autorităţilor administraţiei publice faţă de cetăţeni şi mediul de afaceri, trebuie să stabilească necesităţile şi scopurile trasate, procesele şi fluxurile informaţionale, serviciile acordate şi resursele existente. Pentru a asigura securitatea acestui nivel este necesar de asigurat protecţia portalului guvernamental, care oferă posibilitatea schimbului de informaţii cu publicul prin reţele de comunicaţii, inclusiv Internet, şi reprezintă un punct de acces la resursele şi serviciile informaţionale. De asemenea, este necesar de asigurat protecţia paginilor - web oficiale ale autorităţilor administraţiei publice, precum şi a centrelor de apel;
- nivelul aplicaţiilor – trebuie să asigure structurarea resurselor informaţionale ale sistemului, software-ului, ale utilizatorilor de informaţii, drepturilor şi politicilor de acces şi audit, care asigură integrarea, autentificarea şi securitatea. Securitatea informaţiei acestui nivel urmează să fie asigurată prin respectarea şi îndeplinirea cerinţelor de securitate stabilite faţă de componentele II;
- nivelul tehnologic – trebuie să asigure hotărîrea problemelor aferente păstrării şi utilizării datelor, asigurarea integrităţii tehnologice, protecţiei şi securităţii prin metode şi mecanisme fizice şi logice de asigurare a securităţii. Securitatea informaţiei acestui nivel urmează să fie asigurată în conformitate cu cerinţele privind măsurile şi mijloacele de asigurare a securităţii componentelor II.
4. Cerinţe privind obiectivele şi sarcinile asigurării securităţii informaţiei a infrastructurii informaţionale
Prin asigurarea securităţii informaţiei a II trebuie să fie realizate următoarele obiective strategice:
- asigurarea transparenţei activităţii autorităţilor administraţiei publice;
- crearea şi implementarea sistemelor informaţionale şi a aplicaţiilor pentru susţinerea proceselor din cadrul autorităţilor administraţiei publice;
- dezvoltarea II de stat ţinînd cont de cerinţele securităţii;
- protecţia II împotriva deteriorărilor şi tentativelor premeditate şi accidentale de modificare a modului de funcţionare a acesteia;
- asigurarea criteriilor securităţii informaţiei a componentelor II.
Sarcinile de bază în procesul asigurării securităţii informaţiei a II sînt următoarele:
- identificarea dispoziţiilor generale care reglementează cerinţele securităţii informaţiei, specifice pentru componentele II;
- atribuirea responsabilităţii pentru asigurarea securităţii informaţiilor a componentelor II;
- realizarea cerinţelor implementînd măsuri programatic-tehnice adecvate şi mijloace de protecţie a informaţiei;
- implementarea unui sistem de management al securităţii informaţiei;
- organizarea controlului regulat şi documentarea eficienţei asigurării securităţii informaţiei II şi, în caz de necesitate, revizuirea cerinţelor de securitate a informaţiei;
- instruirea personalului privind securitatea informaţiei.
Pentru asigurarea securităţii informaţiei a componentelor II trebuie respectate următoarele criterii de protecţie a componentelor II:
- confidenţialitate - asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces;
- integritate - păstrarea acurateţei şi completitudinii informaţiilor, precum şi a metodelor de procesare;
- accesibilitate - asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele asociate, atunci cînd este necesar.
Protecţia componentelor II trebuie să corespundă:
- măsurilor elaborate pentru reducerea la minimum a riscurilor critice şi prioritare, identificate în rezultatul evaluării riscurilor;
- cerinţelor de securitate a informaţiei şi de management al riscurilor determinate de către proprietarul componentelor, cu respectarea criteriilor de confidenţialitate, integritate şi accesibilitate.
Asigurarea securităţii informaţiei a II trebuie să se bazeze pe principiile care sînt examinate în următoarele Regulamente Tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.6 Procesul de gestionare a securităţii informaţiei;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.3 Principiile de asigurare a securităţii informaţiei.
5. Cerinţe privind metodele de abordare a securităţii informaţiei a infrastructurii informaţionale
Asigurarea securităţii informaţiei a componentelor II trebuie să se bazeze pe următoarele abordări, care urmează a fie aplicate în mod consecvent:
- metoda de abordare procesuală a asigurării securităţii informaţiei;
- metoda de abordare sistemică a asigurării securităţii informaţiei;
- metoda de abordare structurată a asigurării securităţii informaţiei.
1) Metoda de abordare procesuală a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru gestionarea şi asigurarea securităţii informaţiei a componentelor II este necesar de aplicat metoda de abordare procesuală, care trebuie să determine:
- procesele de gestionare a asigurării securităţii informaţiei a componentelor II;
- procesele de management II din punctul de vedere al asigurării securităţii informaţiei.
Condiţia necesară pentru a asigura procesele de gestionare a securităţii informaţiei II este includerea politicilor şi procedurilor formalizate şi aprobate de către autorităţile administraţiei publice, pentru care sînt stabilite cerinţele securităţii informaţiei:
- procesul de management al riscurilor tehnologiilor informaţionale;
- procesul de gestionare a configuraţiilor;
- procesul de management al incidentelor;
- procesul de management al modificărilor;
- procesul de management al continuităţii;
- auditul şi evaluarea conformităţii.
Fiecare componentă a II trebuie să funcţioneze în conformitate cu cerinţele de asigurare a securităţii informaţiei pe tot parcursul ciclului său de viaţă şi să parcurgă succesiv patru procese:
- planificarea – trebuie stabilite procesele şi procedurile aferente analizei de riscuri şi protecţiei tuturor componentelor II;
- implementarea – trebuie testate cerinţele către securitatea informaţiei la implementarea şi punerea în funcţiune a componentelor II;
- evaluarea – trebuie analizată şi controlată conformitatea cerinţelor securităţii informaţiei la realizarea controlului şi analizei stării componentelor II;
- mentenanţa – trebuie urmărite incidente, problemele asociate cu stabilirea cerinţelor către securitatea informaţiei, cu sprijinul funcţionării eficiente a componentelor II.
În cadrul proceselor date trebuie să fie determinate următoarele cerinţe care sînt o parte integrantă metodei de abordare procesuale a asigurării securităţii informaţiei II:
- cerinţe privind reglementarea şi documentarea proceselor, precum şi sistemului integru de protecţie a componentelor II, fiind aplicate măsuri şi mijloace compatibile de asigurare a securităţii acestora;
- cerinţe privind organizarea şi reglementarea centralizată prin intermediul politicilor şi procedurilor ale proceselor de management II din punctul de vedere al asigurării securităţii informaţiei, proceselor de management al securităţii informaţiei a componentelor II.
2) Metoda de abordare sistemică a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru asigurarea securităţii informaţiei a componentelor II este necesară aplicarea metodei de abordare sistemică, care trebuie să determine cerinţele securităţii informaţiei pentru fiecare componentă a II în conformitate cu următoarea clasificare, precum şi către obiecte concrete ale infrastructurii în cadrul fiecărei clase:
- cerinţe către mijloacele hardware;
- cerinţe către sistemele operaţionale;
- cerinţe către bazele de date;
- cerinţe către reţea, inclusiv către infrastructura reţelei şi mijloacele reţelei;
- cerinţe către mijloacele de suport a funcţionării infrastructurii informaţionale;
- cerinţe către mijloacele multimedia;
- cerinţe către centrul de guvernare electronic.
3) Metoda de abordare structurată a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru asigurarea securităţii informaţiei a componentelor II este necesară aplicarea metodei de abordare structurată, care trebuie să determine cerinţele către măsurile de bază şi mijloacele de asigurare a securităţii informaţiei II:
- cerinţe către identificarea, autentificarea şi autorizarea;
- cerinţe către managementul accesului;
- cerinţe către protecţia antivirus;
- cerinţe către ţinerea registrelor de evenimente;
- cerinţe către copierea de rezervă şi restabilirea componentelor II;
- cerinţe către securitatea fizică a componentelor infrastructurii informaţionale;
- cerinţe privind mijloacele de protecţie criptografică a informaţiei;
- cerinţe privind mijloacele de monitorizare;
- cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a infrastructurii informaţionale;
- cerinţe privind instruirea personalului în materie de asigurare a securităţii informaţiei.
6. Cerinţe către asigurarea securităţii informaţiei a infrastructurii informaţionale, ca parte a abordării prin intermediul proceselor
1) Cerinţe securităţii informaţiei privind managementul riscurilor tehnologiilor informaţionale
Pentru a asigura securitatea informaţiei II abordarea managementului riscurilor tehnologiilor informaţionale trebuie să asigure atingerea obiectivelor următoare:
- contribuirea la realizarea obiectivelor strategice şi tactice ale componentelor infrastructurii prin reducerea nivelului riscurilor pînă la un nivel acceptabil;
- elaborarea instrucţiunilor practice necesare pentru evaluarea şi minimizarea riscurilor identificate în limitele II;
- suportul procesului de luare a deciziilor privind asigurarea securităţii componentelor II;
- reducerea pierderilor ce rezultă din realizarea a diverse operaţii, efectuarea cărora este legată de riscurile identificate.
Abordarea managementului riscurilor tehnologiilor informaţionale constă în realizarea următoarelor acţiuni:
- determinarea sferei şi limitelor procesului de management al riscurilor tehnologiilor informaţionale:
a) trebuie stabilite categoriile componentelor, activelor şi ale proceselor-business care vor fi examinate în cadrul gestionării riscurilor tehnologiilor informaţionale;
b) categoriile datelor protejate trebuie să corespundă următoarelor principii de clasificare a informaţiei:
- pe grade de secretizare conform Legii Republicii Moldova cu privire la secretul de stat nr. 245-XVI din 27.11.2008;
- pe categorii ale datelor cu caracter personal conform Legii Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- pe obiecte ale secretului comercial conform Legii Republicii Moldova cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- pe acces la informaţia oficială conform Legii Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- pe acces la informaţia care este formată, procesată, păstrată în sisteme speciale conform Hotărîrii Guvernului Republicii Moldova cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova nr. 735 din 11.06.2002;
c) trebuie stabilit nivelul de detaliere la identificarea riscurilor tehnologiilor informaţionale;
- analiza riscurilor tehnologiilor informaţionale:
a) trebuie efectuată o analiză calitativă şi cantitativă a riscurilor tehnologiilor informaţionale;
b) trebuie identificate toate componentele II şi trebuie stabilit gradul lor de importanţă;
c) trebuie identificate pericolele potenţiale aferente securităţii informaţiei care pot afecta funcţionarea componentelor II;
d) trebuie identificate toate punctele vulnerabile eventuale care pot favoriza survenirea pericolelor aferente componentelor II;
e) trebuie evaluată probabilitatea surveniri pericolelor prin intermediul punctelor vulnerabile identificate;
f) trebuie stabilit nivelul general al pericolelor aferente componentelor critice ale infrastructurii;
g) trebuie efectuată evaluarea riscurilor aferente componentelor II;
- elaborarea măsurilor privind minimizarea riscurilor tehnologiilor informaţionale:
a) trebuie clasificate riscurile şi stabilită ordinea priorităţii acestora;
b) clasificarea riscurilor urmează să fie executată după efectuarea analizei riscurilor în baza evaluării riscurilor;
c) trebuie stabilit un complex general de mijloace hardware şi software şi de măsuri organizaţionale, realizarea cărora este necesară pentru minimizarea riscurilor substanţiale aferente componentelor II;
d) trebuie identificat riscul rezidual care urmează să fie aprobat de către conducerea autorităţii administraţiei publice respective ca fiind acceptabil;
e) toate deciziile privind măsurile ce ţin de managementul riscurilor II trebuie să fie înregistrate şi să ofere garanţia că riscurile au fost reduse pînă la un nivel acceptabil;
- monitorizarea riscurilor tehnologiilor informaţionale - trebuie stabilite şi setate controale şi un complex hardware şi software pentru funcţionarea în regim automat sau pentru urmărirea de către personal;
- documentarea gestionării riscurilor tehnologiilor informaţionale:
a) politica de management al riscurilor – trebuie să determine obiectivele şi procesele de management al riscurilor pentru asigurarea securităţii informaţiei tuturor componentelor II;
b) metodologia de analiză a riscurilor – trebuie să stabilească etapele efectuării analizei riscurilor şi cerinţele privind acestea, precum şi diapazoanele eventualelor rezultate ale diferitor parametri;
c) raport privind analiza riscurilor – trebuie să includă rezultatele detaliate ale evaluării riscurilor în conformitate cu metodologia aprobată;
d) planul de gestionare a riscurilor – trebuie să includă deciziile aprobate aferente minimizării riscurilor tehnologiilor informaţionale, în baza raportului privind analiza riscurilor.
2) Cerinţe securităţii informaţiei privind managementul configuraţiilor
Pentru a asigura securitatea informaţiei managementul configuraţiilor componentelor II trebuie să asigure obiectivele următoare:
- înregistrarea exactă a informaţiei detaliate despre componentele II;
- furnizarea unor informaţii şi documente exacte pentru susţinerea altor procese de asigurare a securităţii informaţiei a II.
În procesul de management al configuraţiilor este necesar de îndeplinit următoarele acţiuni pentru toate componentele II:
- planificarea – trebuie să fie determinate strategia, politica şi sarcinile procesului de management al configuraţiilor componentelor II; să fie determinate mijloacele şi resursele necesare pentru asigurarea securităţii informaţiei;
- identificarea – trebuie să fie constituite procesele de susţinere a tuturor componentelor II; să fie înregistrate toate componentele II, relaţiile dintre acestea şi informaţia despre posesorul componentelor sau despre persoanele responsabile de ele şi despre documentaţia disponibilă aferentă asigurării securităţii informaţiei;
- controlul – trebuie să se asigure conformitatea operaţiunilor de adăugare, modificare, substituire sau lichidare a componentelor din II cu cerinţele interne ale autorităţii administraţiei publice respective, cu disponibilitatea documentului corespunzător;
- monitorizarea – trebuie urmărită modificarea statutelor componentelor II (de exemplu: în proces de elaborare, în proces de testare, disponibil, în proces de utilizare, exclus din mediul de lucru);
- verificarea – trebuie realizat auditul II privind respectarea cerinţelor legislaţiei în vigoare şi a cerinţelor interne ale unui anumit organ al administraţiei publice;
- raportarea – trebuie furnizată informaţia pentru alte procese de asigurare a securităţii informaţiei a II.
Procesul de management al configuraţiilor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
3) Cerinţe securităţii informaţiei privind managementul incidentelor
Pentru a asigura securitatea informaţiei managementul incidentelor de securitate ale informaţiei a II trebuie să asigure atingerea obiectivelor următoare:
- garantarea faptului că evenimentele şi punctele slabe din sistemul de protecţie a componentelor II sînt comunicate astfel încît este posibilă executarea unor acţiuni corective în timp util;
- diminuarea sau excluderea impactului negativ al dereglărilor în procesul neîntrerupt de lucru al tuturor componentelor II.
Managementul incidentelor din toată II trebuie realizat în conformitate cu următoarele etape:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
Etapele date sînt examinate mai detaliat în următoarele Regulamente Tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.1 Gestionarea incidentelor;
«Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.5.3 Cerinţe privind reacţionarea la incidentele de încălcare a securităţii.
Procesul de management al incidentelor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
4) Cerinţe securităţii informaţiei privind managementul modificărilor
Pentru a asigura securitatea informaţiei managementul modificărilor trebuie să asigure atingerea obiectivelor următoare:
- stabilirea modificărilor necesare în cadrul II şi a mijloacelor de implementare a acestora;
- controlul (urmărirea) asupra implementării modificărilor în cadrul II;
- reducerea numărului de incidente de securitate a informaţiei cauzate de modificările din II.
Cerinţele privind managementul modificărilor în II trebuie să includă următoarele:
- trebuie efectuată periodic inventarierea tuturor componentelor II, clasificarea acestora şi stabilirea priorităţilor, ceea ce va permite de a urmări modificările în II;
- în caz de modificare a structurii II, trebuie efectuată evaluarea riscurilor de securitate a informaţiei, în special a riscurilor organizaţionale şi tehnice;
- trebuie asigurată monitorizarea evenimentelor legate de modificarea configuraţiilor mijloacelor software şi hardware;
- trebuie asigurat controlul asupra modificărilor legate de înregistrările de evidenţă şi drepturile de acces ale utilizatorilor;
- accesul la datele despre modificările din II trebuie să fie asigurat doar pentru persoanele abilitate;
- toate înregistrările despre modificările realizate trebuie să fie supuse periodic auditării.
Procesul de management al modificărilor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
5) Cerinţe securităţii informaţiei privind asigurarea continuităţii
Continuitatea componentelor II reflectă capacitatea autorităţilor administraţiei publice de a readuce procesele interne şi sistemele în starea lor normală de funcţionare în caz de survenire a unor situaţii excepţionale.
Pentru a asigura securitatea informaţiei asigurarea continuităţii componentelor II trebuie să asigure obiectivele următoare:
- contracararea efectelor întreruperilor în funcţionarea componentelor şi a consecinţelor negative cauzate de survenirea situaţiilor excepţionale;
- protecţia componentelor critice împotriva impactului cauzat de deranjamentele principale;
- restabilirea garantată şi în timp util a funcţionării componentelor pînă la un nivel acceptabil, în baza unei anumite consecutivităţi şi în termenele fixate, începînd din momentul întreruperii.
Necesitatea asigurării unei funcţionări continue a II a autorităţilor administraţiei publice implică necesitatea elaborării şi menţinerii în stare actuală a unei strategii de asigurare a continuităţii în funcţionarea II. Pentru a asigura continuitatea în funcţionarea componentelor II este necesar de menţinut trei niveluri de strategie:
- nivelul organizaţional – trebuie să determine direcţiile, documentarea politicii, structura pentru asigurarea continuităţii în funcţionarea componentelor critice ale II;
- nivelul procesual – trebuie să asigure elaborarea strategiei de restabilire a resurselor pentru fiecare componentă critică;
- nivelul restabilirii componentelor – trebuie să asigure un nivel prestabilit de resurse necesare pentru implementarea strategiilor precedente.
Faţă de strategia de asigurare a continuităţii în funcţionarea II sînt înaintate următoarele cerinţe:
- trebuie luate în consideraţie riscurile de stopare a proceselor interne ale autorităţilor administraţiei publice;
- trebuie elaborat, actualizat şi testat un plan de acţiuni menit să restabilească capacitatea de lucru a componentelor II după survenirea situaţiilor excepţionale;
- trebuie asigurată disponibilitatea unui centru de rezervă pentru restabilirea componentelor II;
- trebuie efectuată instruirea periodică a personalului pe probleme ce ţin de asigurarea continuităţii în funcţionarea componentelor II.
Asigurarea continuităţii în funcţionarea II trebuie să includă următoarele procese:
- determinarea proceselor interne de bază – trebuie identificate procesele interne de bază ale autorităţilor administraţiei publice, a căror dereglare poate afecta activitatea acestora;
- inventarierea resurselor informaţionale – trebuie efectuată inventarierea completă a tuturor componentelor II, determinarea celor mai critice componente pentru activitatea autorităţilor administraţiei publice, precum şi clasificarea acestor componente şi stabilirea priorităţilor;
- înţelegerea riscurilor – pentru toate componentele critice ale II trebuie identificate riscurile potenţiale şi eventualele puncte vulnerabile ale realizării acestora în vederea planificării restabilirii componentelor în caz de survenire a situaţiilor excepţionale;
- analiza impactului asupra afacerilor – trebuie evaluat impactul negativ cauzat de dereglarea funcţionării II asupra proceselor interne ale autorităţilor administraţiei publice, ţinîndu-se cont de cerinţele confidenţialităţii, integrităţii şi accesibilităţii. Analiza trebuie efectuată cel puţin o dată în an sau în cazul producerii unor modificări esenţiale în cadrul autorităţilor administraţiei publice;
- strategia de restabilire după situaţiile excepţionale - trebuie stabilite acţiunile în condiţii de avariere şi situaţiile excepţionale, determinate procesele de notificare despre accidente şi de anunţare a acestora, a proceselor de restabilire a componentelor II;
- documentarea planurilor de asigurare a continuităţii în funcţionarea II – trebuie elaborate planurile de restabilire a componentelor II după accidente, care urmează să fie reînnoite periodic, cel puţin o dată în an;
- testarea planurilor de continuitate a activităţii – trebuie efectuată identificarea punctelor slabe în cadrul II care au fost omise. Testarea completă a planurilor de asigurare a continuităţii în funcţionarea II trebuie să fie efectuată cel puţin o dată în an;
- programele de instruire şi informare – trebuie efectuată instruirea colaboratorilor din cadrul autorităţilor administraţiei publice în privinţa acţiunilor pe care aceştia urmează să le întreprindă în condiţii de situaţii excepţionale;
- implementarea planurilor de asigurare a continuităţii II - trebuie asigurată îndeplinirea eficientă a acţiunilor în caz de restabilire sau întrerupere a funcţionării componentelor II.
Procesul eficient de asigurare a continuităţii în funcţionarea componentelor II minimizează posibilitatea şi impactul întreruperii funcţionării lor asupra proceselor-business esenţiale şi critice ale autorităţilor administraţiei publice.
Procesul de management al continuităţii trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
6) Cerinţe securităţii informaţiei privind auditul şi evaluarea conformităţii
a) Cerinţe securităţii informaţiei privind auditul
Auditul securităţii informaţiei II reprezintă un proces sistemic de obţinere şi evaluare a datelor obiective despre starea curentă a componentelor infrastructurii din perspectiva securităţii informaţiei, despre acţiunile şi evenimentele ce se produc în cadrul infrastructurii. Acest proces trebuie să determine gradul de corespundere a datelor menţionate cu un anumit nivel de securitate.
Realizarea auditului şi asigurării conformităţii securităţii trebuie să asigure atingerea obiectivelor următoare:
- obţinerea unei evaluări cît mai complete şi mai obiective a protecţiei componentelor II;
- evitarea încălcării obligaţiunilor prevăzute în legislaţie, statute, acte normative sau contracte şi a cerinţelor de asigurare a securităţii informaţiei;
- localizarea problemelor curente şi elaborarea unui sistem eficient de asigurare a securităţii informaţiei pentru toate componentele II a autorităţilor administraţiei publice.
Pentru a asigura securitatea informaţiei cerinţele privind auditul componentelor II includ următoarele:
- auditul intern trebuie efectuat în fiecare an şi sub supravegherea administratorului în securitate pentru stabilirea conformităţii autorităţilor administraţiei publice cu cerinţele esenţiale;
- în procesul de efectuare a auditului trebuie să se examineze acţiunile reuşite şi eşuate legate de:
a) înregistrarea în sistem;
b) managementul înregistrărilor de evidenţă;
c) accesul la serviciul de directori;
d) accesul la obiecte;
e) utilizarea privilegiilor;
f) utilizarea proceselor şi evenimentelor de sistem;
- trebuie să fie elaborate ghiduri pentru programele de audit în vederea acordării de asistenţă în procesul de efectuare a auditului;
- fiecare subdiviziune structurală a autorităţilor administraţiei publice, în special centrele de prelucrare a datelor, trebuie să efectueze un audit separat care să includă: verificarea repetată a rapoartelor privind activitatea, verificarea utilizatorilor şi a listelor de înregistrări de evidenţă, precum şi inventarierea echipamentului şi a resurselor;
- pe lîngă auditele interne, trebuie efectuate trei tipuri de verificări repetate a securităţii operaţiilor şi procedurilor autorităţilor administraţiei publice:
a) verificarea repetată a operării cu mijloacele criptografice de protecţie a informaţiei – se efectuează o singură dată şi în baza ei se confirmă respectarea cerinţelor de securitate;
b) verificarea repetată a procedurilor – se efectuează periodic şi în baza ei ce confirmă respectarea tuturor cerinţelor de securitate;
c) auditul periodic – în baza lui se confirmă gradul de conformitate cu standardele naţionale în domeniul de asigurare a securităţii informaţiei;
- informaţia obţinută în rezultatul efectuării primelor două controale trebuie să fie utilizată în procesul de efectuare a auditului;
- pe lîngă auditul intern, auditul extern trebuie efectuat cel puţin o dată în patru ani;
- la efectuarea auditului extern este necesar de a dispune de acorduri de confidenţialitate încheiate cu persoana terţă care efectuează auditul şi cu colaboratorii organizaţiei acesteia.
- este necesar de aplicat următoarele criterii ale auditului:
a) eficienţa – actualitatea informaţiei, procesului intern respectiv din cadrul autorităţii administraţiei publice, garanţia recepţionării la timp şi în mod regulat a unei informaţii corecte;
b) productivitatea – asigurarea accesibilităţii informaţiei prin utilizarea optimă a resurselor;
c) confidenţialitatea – asigurarea protecţiei informaţiei împotriva unei interceptări neautorizate;
d) integritatea – exactitatea, plenitudinea şi autenticitatea informaţiei în corespundere cu cerinţele interne din cadrul autorităţilor administraţiei publice;
e) utilitatea – furnizarea informaţiei la cererea proceselor interne din cadrul autorităţilor administraţiei publice;
f) conformitatea – corespunderea cu legislaţia, normele şi obligaţiile contractuale;
g) siguranţa – accesul la informaţia corespunzătoare pentru activitatea curentă, pentru generarea rapoartelor financiare şi evaluarea gradului de conformitate.
În procesul de efectuare a auditului, faţă de organizaţia terţă care efectuează auditul extern urmează să fie înaintate următoarele cerinţe:
- organizaţia trebuie să fie înregistrată, să deţină licenţe şi să fie recunoscută pe plan internaţional;
- calificarea trebuie să fie confirmată prin certificatele auditorilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA);
- trebuie prezentată dovada experienţei de muncă de cel puţin doi ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- auditorii trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al protecţiei criptografice a cheilor publice.
Cerinţele privind etapele de efectuare a auditului includ următoarele:
- pînă la efectuarea auditului, organizaţia trebuie să efectueze analiza riscurilor, iar intervalul dintre auditul curent şi auditul precedent trebuie să fie în limita unui an;
- planificarea:
a) auditorii trebuie să stabilească relaţii cu organizaţia şi să determine obiectivele auditului;
b) auditul trebuie să cuprindă: procedurile de verificare a identităţii utilizatorilor, securitatea software-ului şi accesului la reţea, registrele de evenimente şi procesele de monitorizare a sistemului, arhivarea şi restabilirea datelor, înregistrările privind modificarea parametrilor configuraţiei componentelor II şi înregistrările privind analizele şi verificările aplicaţiilor de program şi dispozitivelor tehnice;
- auditorii trebuie să dezvolte o înţelegere, care să fie suficientă pentru realizarea metodelor corespunzătoare de control pentru satisfacerea cerinţelor;
- verificarea tehnologiilor informaţiei:
a) auditorii trebuie să stabilească priorităţile de bază ale riscurilor pentru zonele semnificative;
b) auditorii trebuie să determine gradul de corespundere a controalelor cu cerinţele stabilite;
c) controalele de audit trebuie să fie efectuate conform regulilor stabilite de legislaţia în vigoare şi reglementările interne ale autorităţilor administraţiei publice;
- coordonarea/semnarea/emiterea:
a) la etapa raportării, auditorii trebuie să pregătească raportul de audit independent al securităţii;
b) în raportul de audit al securităţii trebuie să fie reflectate în mod obligatoriu: evaluarea calităţii şi continuităţii în activitate, conformitatea activităţii autorităţilor administraţiei publice cu cerinţele politicii de securitate, suficienţa măsurilor de asigurare a securităţii informaţiei a componentelor II, analiza funcţiilor de management al riscurilor, respectarea cerinţelor de asigurare a continuităţii în activitate şi conformitatea complexului tehnic de program cu cerinţele înaintate;
c) înainte de a transmite raportul de audit, persoana corespunzătoare trebuie să semneze un acord de confidenţialitate;
d) este necesar de prezentat raportul în formatul care păstrează integritatea documentului, de exemplu: formatul PDF cu parolă;
e) toate copiile raportului de audit trebuie să fie numerotate, iar în raport urmează să fie introdusă următoarea menţiune: „Copia nr. a fost eliberată în baza acordului de confidenţialitate. Această copie nu poate fi transmisă”.
b) Cerinţe privind evaluarea conformităţii
Evaluarea conformităţii securităţii informaţiei II trebuie să ofere siguranţa în conformitatea componentelor II cu cerinţele stabilite ale securităţii informaţiei. Evaluarea conformităţii trebuie efectuată periodic, cel puţin o dată în an, precum şi în caz de modificări substanţiale în componentele II şi în caz de pericole de securitate.
În rezultatul efectuării cu succes a evaluării conformităţii de către autorităţile abilitate să exercite controlul de stat asupra respectării cerinţelor de securitate a tehnologiilor informaţiei, printre care este Agenţia Naţională pentru Reglementare în Comunicaţii Electronice şi Tehnologia Informaţiei (ANRCETI) trebuie să fie eliberat un certificat de conformitate.
Pentru a asigura securitatea informaţiei II în procesul de evaluare a conformităţii este necesar de evaluat:
- corespunderea măsurilor şi mijloacelor de asigurare a securităţii informaţiei cu cerinţele securităţii informaţiei stabilite de legislaţia în vigoare;
- corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii informaţiei;
- corectitudinea acţiunilor de lichidare a consecinţelor incidentelor de încălcare a securităţii şi de neutralizare a vulnerabilităţilor.
Pentru a obţine date despre starea securităţii informaţiei a componentelor II este necesar de îndeplinit o serie de acţiuni după cum urmează:
- trebuie să fie efectuată analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii informaţiei pentru a contracara incidentele produse de încălcare a securităţii;
- trebuie să fie efectuate verificarea şi testarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei în materie de conformitate cu cerinţele securităţii;
- trebuie să fie efectuată testarea în materie de pătrundere în vederea evaluării posibilităţii de utilizare a vulnerabilităţilor în scopul încălcării securităţii;
- trebuie să fie utilizate mijloacele hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii informaţiei şi identificarea vulnerabilităţilor.
În cazul depistării încălcării asigurării securităţii informaţiei II ANRCETI aplică sancţiuni administrative în modul stabilit de lege şi emite o decizie privind încetarea încălcării şi/sau luarea unor măsuri de remediere a consecinţelor ei.
Cerinţele înaintate către organele autorizate care efectuează controlul de stat al conformităţii cerinţelor de securitate a informaţiei a componentelor II, sînt următoarele:
- calificarea trebuie să fie confirmată prin certificatele specialiştilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA) care efectuează controlul;
- trebuie prezentată dovada experienţei de muncă de cel puţin trei ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- specialiştii organismelor autorizate trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al securităţii informaţiei şi protecţiei criptografice a cheilor publice.
7. Cerinţe securităţii informaţiei către procesele de management a infrastructurii informaţionale în cadrul abordării procesuale
Cerinţele către asigurarea securităţii informaţiei II trebuie determinate pentru toate procesele de management al componentelor II:
- planificarea şi elaborarea – determinarea cerinţelor privind asigurarea securităţii informaţiei la crearea şi/sau perfecţionarea componentelor inofensive ale II;
- implementarea – executarea componentelor II în conformitate cu planurile şi cerinţele prevăzute în actele normative şi legislative, precum şi testarea cerinţelor privind asigurarea securităţii informaţiei la implementarea şi punerea în funcţiune a componentelor II;
- evaluarea – recepţionarea unor date sistematizate şi autentice aferente stării componentelor II în baza analizei şi controlului conformităţii cerinţelor securităţii informaţiei;
- deservirea – munca cotidiană cu componentele II privind menţinerea funcţionării eficiente a acestora cu respectarea criteriilor de securitate a informaţiei, prin intermediul urmăririi incidentelor şi a problemelor legate de securitatea informaţiei.
1) Cerinţe către asigurarea securităţii informaţiei la planificarea şi dezvoltarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de planificare şi dezvoltare a componentelor II, şi de asemenea elaborarea strategiilor şi planurilor de acţiuni aferente implementării componentelor II .
La planificarea şi dezvoltarea componentelor II trebuie elaborate următoarele documente:
- arhitectura componentelor II, diagramele schematice şi topologia;
- strategiile şi planurile de măsuri de implementare a componentelor II care trebuie să includă cel puţin:
a) justificarea necesităţii de a implementa componentele;
b) calcularea bugetului de cheltuieli şi justificarea caracterului rezonabil al cheltuielilor;
c) descrierea tehnologiilor aplicate (de ex.: maşini universale mainframe, sisteme distribuite, reţele şi dispozitive mobile) şi a compatibilităţii acestora cu componentele existente ale II;
d) documentarea arhitecturii şi structurii II;
e) documentarea proceselor şi procedurii de management al II;
- strategia de asigurare a securităţii informaţiei pentru toate componentele II – stabileşte concepţia de asigurare a securităţii informaţiei II a autorităţilor administraţiei publice;
- politica de asigurare a securităţii informaţiei pentru fiecare componentă a II care trebuie să includă cel puţin:
a) determinarea securităţii, scopurilor şi sferei sale de acţiune, precum şi dezvăluirea importanţei securităţii în calitate de instrument de asigurare a posibilităţii de utilizare în comun a informaţiei;
b) specificarea scopurilor şi principiilor securităţii formulate de conducere;
c) specificarea succintă a celor mai importante politici de securitate a informaţiei, principii, reguli şi cerinţe;
d) determinarea obligaţiilor generale şi concrete ale colaboratorilor în cadrul managementului securităţii informaţiei;
e) referinţe la mai detaliate politici şi proceduri de securitate care suplimentează politica de securitate a informaţiei;
- planul de asigurare a securităţii informaţiei pentru fiecare componentă a II care trebuie să includă cel puţin:
a) acţiunile detaliate pentru realizarea obiectivelor de asigurare a securităţii informaţiei;
b) acţiunile detaliate pentru implementarea complexului hardware şi software;
c) procedurile de perfecţionare a procesului de asigurare a securităţii informaţiei;
d) procedurile de efectuare a instructajelor şi seminarelor de instruire a personalului;
e) procedurile de majorare a competenţei personalului.
Documentaţia elaborată în cadrul şi în timpul acestui proces, trebuie să corespundă următoarelor cerinţe:
- trebuie să fie coordonată cu cerinţele legislaţiei şi activităţii autorităţilor administraţiei publice şi cu cerinţele de securitate a informaţiei privind componentele II;
- trebuie să corespundă obiectivelor de muncă şi evaluare stabilite a componentelor II;
- trebuie să se bazeze pe sistemele de informaţii existente şi componentele II;
- trebuie utilizată pentru coordonarea, planificarea şi gestionarea tuturor componentelor II;
- trebuie descrise riscurile cheie, a căror minimizare este necesară;
- trebuie asigurată orientarea şi motivarea colaboratorilor ce operează cu componentele II;
- trebuie aprobată de către persoanele autorizate.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile la planificarea şi dezvoltarea componentelor II, care trebuie identificate în mod obligatoriu şi în privinţa cărora este necesar de acţionat în vederea reducerii lor includ:
- resursele financiare, tehnice, umane inadecvate, bugetul şi perioada de timp planificate pentru componentă;
- utilizarea ineficientă a resurselor, cheltuieli şi investiţii exagerate;
- personalul cu pregătire şi experienţă insuficiente;
- absenţa interacţiunii între persoanele responsabile de managementul componentelor a II şi conducerea subdiviziunilor autorităţilor administraţiei publice;
- restricţiile privind aplicarea tehnologiilor, sistemelor şi reţelelor vechi;
- deficitul de mijloace instrumentale, standarde şi experienţă pentru documentarea, justificarea şi analiza compatibilităţii componentelor în procesul de integrare;
- absenţa informaţiilor pentru monitorizare, control şi evaluare.
c) Cerinţe către activităţile de planificare şi dezvoltare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru a asigura securitatea informaţiei a componentelor II în cadrul procesului de planificare şi proiectare a componentelor II trebuie realizată următoarea listă de activităţi:
- verificarea corespunderii dintre planificarea componentelor II şi planurilor anuale cu sarcinile unei autorităţi a administraţiei publice concrete, precum şi cu rezultatele reale în privinţa realizării planurilor şi sarcinilor;
- verificarea compatibilităţii şi posibilităţii integrării componentei noi cu componentele existente ale II, ţinîndu-se cont de procesele de management şi de arhitectura fiecărei componente;
- determinarea tipului de elaborare a componentei noi II:
a) elaborare funcţională – trebuie format setul de specificaţii funcţionale ale cerinţelor şi criteriilor privind componentul;
b) elaborare tehnică – trebuie determinaţi parametrii tehnici ai componentei noi în II curentă (de exemplu: utilizarea protocolului de reţea, configuraţiile sistemului, versiunile, platforma);
- analiza stării curente a componentei - trebuie efectuată analiza proceselor şi procedurilor de management pentru fiecare componentă a II şi analiza arhitecturii şi structurii tuturor componentelor II;
- determinarea stării necesare a componentei – trebuie elaborate specificaţiile şi cerinţele pentru starea dorită a componentei;
- elaborarea planului de trecere la situaţia necesară;
- analiza posibilităţilor de apariţie a noilor riscuri a securităţii informaţiei legate de implementarea componentei noi;
- executarea proceselor de asigurare a securităţii informaţiei a componentelor II în regim 24*7;
- planificarea utilizării eficiente a resurselor umane, a proceselor şi a tehnologiilor în vederea asigurării securităţii informaţiei a componentelor II;
- realizarea evaluării următoarelor aspecte:
a) avantajele implementării componentei noi II;
b) condiţiile şi cerinţele funcţionale şi tehnice componentei noi II;
c) costul modificării componentei II;
d) caracterul stabil al funcţionării componentei noi II şi durata preconizată a ciclului său de viaţă;
e) analiza şi managementul riscurilor legate de implementarea componentei noi II;
f) gradul de influenţă al componentei noi asupra structurii generale a II şi asupra activităţii autorităţii administraţiei publice;
g) costul planificat aferent instalării, testării, implementării şi mentenanţei componentei noi II;
h) valoarea soluţiei inovatoare la selectarea unei noi componente;
i) gradul de incompatibilitate a componentei noi cu componentele curente ale II;
j) necesitatea de a se asigura continuitatea funcţionării componentelor;
k) dependenţa de furnizori, asociaţi;
l) raportul dintre preţ şi calitate;
m) necesitatea de a se asigura integritatea componentelor II;
n) necesitatea de lucrări de întreţinere şi siguranţă.
2) Cerinţe către asigurarea securităţii informaţiei la implementarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de implementare a componentelor II, şi de asemenea elaborate planurile de acţiuni aferente implementării componentelor II .
Pentru implementarea componentelor II trebuie elaborate următoarele documente:
- planul de dislocare a componentelor II, care trebuie să includă cel puţin:
a) descrierea componentelor;
b) termenii;
c) acţiunile întreprinse privind implementarea componentelor;
d) resursele necesare pentru implementarea fiecărui component a II;
e) peroanele responsabile;
- planul de integrare a componentelor II, care trebuie să includă cel puţin următoarele niveluri de integrare:
a) integrarea evenimentelor (sistemele de schimbare cu mesaje) – capacitatea de a face schimb de informaţii între componentele II;
b) integrarea datelor - capacitatea de a distribui un set comun de date diferitor componente ale II;
c) integrarea funcţională - capacitatea componentelor II de a interacţiona şi a coordona comportamentul lor funcţional una cu alta.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile la implementarea componentelor II care trebuie identificate în mod obligatoriu şi în privinţa cărora este necesar de acţionat în vederea reducerii lor sînt următoarele:
- abatere de la indicatorii planificaţi de timp şi utilizare a resurselor;
- competenţa şi experienţa insuficientă a personalului;
- planificarea neadecvată, care implică nerespectarea termenului planificat pentru executarea lucrărilor;
- absenţa interacţiunii între persoanele responsabile de implementarea componentelor II şi conducerea subdiviziunilor autorităţilor administraţiei publice;
- mijloace instrumentale necorespunzătoare sau instruirea neadecvată privind utilizarea eficientă a acestora;
- insuficienţa activităţii de control asupra procesului de implementare a componentelor II.
c) Cerinţe către activităţile de implementare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru asigurarea securităţii informaţiei în procesul de implementare a componentelor II trebuie îndeplinit următorul set de acţiuni:
- iniţierea şi aprobarea planurilor de instalare a componentelor şi resurselor necesare în acest scop;
- executarea planurilor adoptate privind instalarea componentelor în conformitate cu principiile de bază şi normele autorităţii publice respective;
- analiza riscurilor care pot apărea pe parcursul implementării componentelor II;
- efectuarea testării de bloc, funcţionale, nefuncţionale, de sarcină, integraţionale, de sistem şi de recepţie, precum şi a testării securităţii componentei noi şi înregistrarea rezultatelor obţinute, a erorilor şi a cauzelor survenirii acestora;
- în caz de testare cu succes, aprobarea disponibilităţii componentei pentru integrarea cu componentele existente ale II;
- integrarea componentelor II, asigurînd un sistem unic de integrare a organismelor autorităţii publice;
- determinarea controalelor de securitate, după implementarea noilor componente ale infrastructurii;
- analiza nivelului de corespundere a caracteristicilor funcţionale şi tehnice ale componentei cu cerinţele de activitate ale autorităţii administraţiei publice respective;
- asigurarea protecţiei a informaţiei obţinute în procesul de implementare a componentelor de II;
- asigurarea confidenţialităţii şi integrităţii datelor aflate în sau transmise cu ajutorul componentelor II;
- efectuarea controlului versiunilor componentelor II;
- informarea utilizatorilor în privinţa aspectelor de securitate a componentelor II.
3) Cerinţe către asigurarea securităţii informaţiei la evaluarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politicile şi procedurile care reglementează şi determină procesul de evaluare a componentelor II.
Pentru evaluarea componentelor II trebuie elaborat planul de evaluare a componentelor II care să includă minim:
- procedurile de evaluare pentru toate componentele critice ale II;
- procedurile de evaluare la toate etapele ciclului de viaţă al componentelor II;
- diapazonul de evaluare a componentelor II;
- nivelul necesar de detaliere a evaluării componentelor II desfăşurate;
- resursele necesare pentru evaluarea componentelor II.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscuri aferente evaluării componentelor II, care trebuie neapărat identificate şi pentru care trebuie luate măsuri în vederea reducerii, includ:
- abaterea de la indicatorii planificaţi de timp si utilizare a resurselor;
- obiective şi acţiuni incorecte aferente procesului de planificare şi implementare a componentelor II;
- controlul insuficient al indicatorilor procesului de planificare şi implementare a componentelor II.
c) Cerinţe către activităţile de evaluare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru a asigura securitatea informaţiei II în procesul de evaluare a componentelor II trebuie realizată următoarea listă de activităţi:
- evaluarea rezultatelor şi a dinamicii de funcţionare a componentelor II din punct de vedere a respectării criteriilor de securitate a informaţiei;
- evaluarea nivelului de maturitate pentru fiecare componentă a II;
- evaluarea eficienţei realizării planurilor de implementare pentru toate componentele II;
- generarea rapoartelor aferente erorilor identificate, problemelor şi eventualului impact asupra componentelor II din realizarea ameninţărilor la adresa securităţii informaţiei;
- pregătirea recomandărilor privind modernizarea II;
- controlul următorilor parametri ai mijloacelor de control a securităţii informaţiei:
a) parametrii aferenţi serviciilor de securitate:
- disponibilitatea mijloacelor de protocol şi de audit pentru componente critice ale II;
- nivelul şi gradul de eficacitate a mecanismelor de identificare şi autentificare;
- aplicarea tehnologiilor ce asigură comunicarea în formă «expeditor-receptor»;
- disponibilitatea mijloacelor de protecţie a datelor utilizatorilor;
b) parametri aferenţi infrastructurii:
- disponibilitatea mijloacelor de protecţie criptografică a informaţiei;
- aplicarea măsurilor de management al securităţii;
- disponibilitatea mijloacelor care delimitează accesul la obiectele importante;
c) parametrii asociaţi cu trecerea obligatorie a tuturor etapelor ciclului de viaţă al componentelor II:
- proiectarea şi elaborarea componentelor II;
- gestionarea configuraţiilor componentelor II;
- testarea componentelor II luînd în considerare evaluarea vulnerabilităţilor;
- livrarea şi exploatarea componentelor II;
- controlul indicatorilor de performanţă şi de calitate:
a) indicatorii executării – determină caracteristicile executării lucrărilor de instalare a componentelor II prin coroborarea cheltuielilor planificate cu cele efectiv suportate în vederea realizării scopurilor fixate;
b) indicatorii calităţii – evaluează gradul de acceptabilitate a componentei pentru întreaga II în vederea realizări obiectivelor şi funcţiilor acesteia.
În rezultatul evaluării componentelor II trebuie recepţionate date sistematizate şi autentice despre starea II, care sînt necesare pentru adoptarea deciziilor şi pentru managementul operativ al componentelor II.
4) Cerinţe către asigurarea securităţii informaţiei la deservirea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de deservire a componentelor II.
Pentru a asigura securitatea informaţiei în procesul de deservire a componentelor II trebuie să fie elaborate:
- planul de deservire a componentelor II, care să includă minimum:
a) tipurile deservirii realizate;
b) succesiunea de elaborare a documentaţiei aferente utilizării componentelor II;
c) lucrările organizaţionale şi lucrările de deservire;
d) resursele;
e) nivelul necesar de calificare a personalului deservirii;
f) organizarea serviciului de asistenţă a clienţilor;
g) raportarea;
- planul de acţiune în vederea restabilirii funcţionării componentelor II după producerea situaţiilor excepţionale, care trebuie să includă:
a) acţiuni de prevenire a incidentelor;
b) acţiuni în caz de producere a incidentelor;
c) acţiuni de lichidare a consecinţelor incidentelor şi de restabilire a capacităţii de lucru a II.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile eferente deservirii componentelor II, care urmează a fi identificate în mod obligatoriu şi în privinţa cărora trebuie luate măsuri privind minimizarea lor, sînt următoarele:
- gradul insuficient de accesibilitate a resurselor necesare pentru deservirea componentelor şi utilizarea ineficientă a acestora;
- utilizarea ineficientă a resurselor, ceea ce implică cheltuieli sporite legate de deservirea II;
- gradul de calificare şi experienţa insuficientă a personalului de deservire;
- lipsa informaţiei pentru monitorizare, control şi evaluare.
c) Cerinţe către activităţile de deservire a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru asigurarea securităţii informaţiei a componentelor II în cadrul deservirii componentelor II trebuie întreprinse următoarele acţiuni:
- coordonarea şi aprobarea sarcinilor privind deservirea de către persoanele responsabile din cadrul autorităţilor administraţiei publice;
- în contextul gestionării tuturor evenimentelor legate de II:
a) monitorizarea şi identificarea evenimentelor legate de situaţii şi condiţii necorespunzătoare ale componentelor II;
b) ţinerea registrelor de evenimente legate de componentele II;
c) prelucrarea, escaladarea şi rezolvarea evenimentelor identificate;
d) raportarea privind evenimentele întregii infrastructuri;
- în contextul controlului operaţional şi managementului configuraţiilor componentelor II:
a) instalarea unei componente noi sau modificate în cadrul II;
b) demontarea componentei vechi sau uzate;
c) repartizarea configuraţiilor ajustate sau noi ale componentelor II;
d) instalarea parametrilor şi indicilor operaţionali ai componentelor II conform standardelor şi cerinţelor corespunzătoare;
- în contextul acţiunilor privind gestionarea păstrării, copierii de rezervă şi restabilirii componentelor II:
a) păstrarea şi repartizarea componentelor II;
b) aplicarea sistemului de copiere de rezervă şi de restabilire;
- monitorizarea şi controlul evenimentelor aferente tuturor componentelor II;
- efectuarea controlului şi monitorizării nivelului de securitate a componentelor II;
- efectuarea controlului şi managementului accesului la resursele informaţionale, precum şi la componentele II;
- controlul parametrilor de deservire, inclusiv:
a) stabilitatea şi fiabilitatea componentelor II;
b) documentaţia ce conţine date privind deservirea componentelor;
c) înregistrarea sau baza de date a tuturor evenimentelor de deservire, alarmelor şi semnalelor.
8. Cerinţe către asigurarea securităţii informaţiei a infrastructurii informaţionale în cadrul abordării sistemice
1)Cerinţe privind mijloacele hardware
Pentru a asigura securitatea informaţiei a mijloacelor hardware II sînt înaintate următoarele cerinţe obligatorii:
- trebuie utilizate doar mijloacele hardware care au fost supuse certificării corespunzătoare;
- trebuie efectuată verificarea mijloacelor hardware în materie de posibilităţi funcţionale negative;
- mijloacele hardware trebuie să corespundă cerinţelor privind protecţia resurselor informaţionale împotriva scurgerilor prin canale tehnice;
- mijloacele hardware trebuie să asigure posibilitatea de identificare şi autentificare a subiecţilor care le accesează, de management al accesului şi de efectuare a auditului evenimentelor de securitate legate de utilizarea acestor mijloace;
- mijloacele hardware care asigură securitatea informaţiei nu trebuie să permită modificarea sau denaturarea algoritmului de lucru al mijloacelor tehnice;
- mijloacele hardware trebuie să fie protejate împotriva acţiunilor din partea reţelelor externe de transfer de date;
- trebuie efectuat controlul permanent al integrităţii mijloacelor hardware;
- trebuie asigurată disponibilitatea mijloacelor hardware de rezervă;
- trebuie înregistrată şi ţinută evidenţa utilizării mijloacelor hardware;
- la conectarea unui mijloc hardware nou:
a) trebuie înregistrat echipamentul nou conectat;
b) echipamentul trebuie să fie atribuit în sarcina unui colaborator, care îşi va asuma răspunderea pentru exploatarea acestuia;
c) persoana responsabilă este obligată să înştiinţeze persoana abilitată despre deplasarea echipamentului într-o altă încăpere, modificarea componenţei, transmiterea pentru reparaţie, transferul de responsabilitate privind echipamentul către o altă persoană.
Pentru a asigura securitatea informaţiei a II, cerinţele privind serverele trebuie să includă următoarele:
- serverele şi echipamentul de telecomunicaţii trebuie să fie amplasate într-o încăpere specială sigură;
- serverele trebuie să se afle permanent în regim de depistare manuală sau electronică a accesului neautorizat;
- trebuie instalate doar serviciile şi aplicaţiile necesare;
- trebuie stabilite cerinţe stricte privind accesul pentru executarea diverselor operaţii, în particular pentru modificarea conţinutului şi configuraţiei serverelor;
- este necesar de utilizat canale protejate pentru transmiterea resurselor informaţionale critice;
- trebuie gestionat accesul la datele de pe server şi de asigurat integritatea şi autenticitatea datelor;
- este necesar de aplicat matrice de acces la conţinutul serverului care să determine mapele şi fişierele de pe directoriul serverului care au restricţii de acces;
- trebuie criptat traficul de management la distanţă al serverelor;
- trebuie utilizate mecanisme de autentificare a utilizatorilor serverelor, inclusiv semnături digitale şi alte mecanisme criptografice;
- trebuie utilizate sisteme de identificare a atacurilor pe bază de host şi/sau de verificare a integrităţii fişierelor;
- trebuie asigurată o protecţie permanentă a serverelor împotriva viruşilor şi codului maliţios;
- trebuie ţinută evidenţa protocoalelor tuturor evenimentelor şi acţiunilor utilizatorilor, precum şi ale activităţii serverelor în vederea identificării interferenţelor şi a tentativelor de interferenţă;
- trebuie efectuat controlul integrităţii software-ului şi a configuraţiilor serverelor;
- trebuie efectuată monitorizarea fiecărei activităţi suspecte pe servere (de exemplu: activitatea pe timp de noapte, încercări numeroase de autorizare);
- trebuie asigurată replicarea serverelor critice şi arhivarea celor mai critice active informaţionale;
- trebuie aplicate proceduri de restabilire a serverelor;
- trebuie efectuată testarea periodică a securităţii serverelor.
Pentru a asigura securitatea informaţiei a II, cerinţele privind staţiile de lucru trebuie să includă următoarele:
- trebuie utilizate mecanisme de autentificare a utilizatorilor staţiilor de lucru;
- este necesar de delimitat accesul la resursele informaţionale ale staţiilor de lucru în conformitate cu cerinţele pentru îndeplinirea propriilor obligaţiuni;
- este necesar de delimitat drepturile de acces la efectuarea diverselor operaţii de către utilizatori în vederea preîntîmpinării acţiunilor neautorizate din partea colaboratorilor (de exemplu: imprimarea la imprimantă, copierea datelor prin intermediul clipboard-ului, exportul de date în formate locale);
- este necesar de aplicat canale protejate pentru transmiterea resurselor informaţionale critice;
- este necesar de asigurat protecţia permanentă a staţiilor de lucru împotriva viruşilor şi a codului maliţios;
- trebuie efectuat controlul periodic al integrităţii software-ului şi a configuraţiilor serverelor;
- este necesar de efectuat monitorizarea şi gestionarea mijloacelor hardware şi software ale staţiilor de lucru;
- este necesar de ţinut registre ale evenimentelor şi operaţiilor utilizatorilor legate de securitatea informaţiei;
- este necesar de asigurat arhivarea, criptarea datelor critice aflate în cadrul staţiilor de lucru;
- trebuie asigurată implementarea şi setarea în siguranţă a aplicaţiilor pentru staţiile de lucru;
- este necesar de asigurat securitatea fizică a staţiilor de lucru.
2) Cerinţe privind sistemele operaţionale
Pentru a asigura securitatea informaţiei a II este necesar de îndeplinit următoarele cerinţe privind sistemele operaţionale:
- fiecare utilizator trebuie să fie identificat prin înregistrarea unică de evidenţă şi prin parola de acces în sistem;
- trebuie aplicate mijloace de protecţie criptografică pentru păstrarea parolelor sistemelor operaţionale;
- în caz de accesarea la distanţă a sistemului operaţional, trebuie utilizate protocoale criptografice pentru a evita transmiterea parolei prin reţea în format deschis;
- accesul la staţia de lucru trebuie să fie acordat doar după autentificarea cu succes;
- sistemul trebuie să utilizeze matrice de acces în conformitatea cu nivelurile de protecţie a informaţiei;
- sistemul trebuie să asigure protocolarea şi urmărirea acţiunilor utilizatorilor;
- sistemul operaţional trebuie să protejeze obiectele împotriva utilizării repetate;
- administratorul de sistem trebuie să ţină evidenţa tuturor evenimentelor legate de securitatea sistemelor operaţionale;
- sistemul trebuie să menţină protecţia împotriva influenţei din exterior, cum este modificarea sistemei încărcate sau a fişierelor de sistem păstrate pe disc.
Pentru a asigura securitatea informaţiei a componentelor II este necesar de aplicat următoarele mijloace de protecţie ale sistemelor operaţionale:
- tehnologiile de securitate de bază:
a) mecanisme de identificare, autentificare, autorizare;
b) disponibilitatea canalelor protejate de transmitere a datelor;
c) mijloace criptografice de protecţie a informaţiei;
d) mijloace de audit şi monitorizare;
- tehnologiile de autentificare:
a) mijloace de autentificare de reţea în baza parolei de utilizare multiplă;
b) mijloace de autentificare prin utilizarea parolei de unică folosinţă;
c) mijloace de autentificare a informaţiei;
- mijloacele de restabilire şi de protecţie a sistemelor operaţionale împotriva defectelor:
a) mijloace de protecţie fişierelor de sistem operaţional;
b) disponibilitatea regimului sigur de încărcare a sistemului operaţional;
c) disponibilitatea consolei de restabilire;
d) disponibilitatea discului de restabilire în caz de avariere;
e) mijloace de copiere de rezervă şi restabilire.
3) Cerinţe privind bazele de date
Accesul la bazele de date reprezintă un aspect important în administrarea autorităţilor administraţiei publice, precum şi în executarea funcţiei de prelucrare, păstrare şi manipulare a informaţiei.
Dat fiind faptul că baza de date reprezintă o parte integrantă a II a autorităţilor administraţiei publice ce conţine informaţie critică preţioasă, este necesar de respectat cerinţele obligatorii privind bazele de date:
- trebuie asigurată securitatea arhitecturii şi structurii bazelor de date;
- trebuie efectuată monitorizarea acţiunilor tuturor utilizatorilor în cadrul serviciilor de baze de date;
- este interzisă păstrarea informaţiei bazelor de date în condiţii neprotejate;
- trebuie exclus accesul manual neautorizat la bazele de date;
- trebuie asigurată securitatea intrării în bazele de date;
- trebuie asigurată securitatea parolelor bazelor de date;
- trebuie asigurată fiabilitatea bazelor de date prin acordarea autorizaţiilor corespunzătoare şi a drepturilor de acces la obiecte şi resurse;
- trebuie efectuat controlul accesului la datele din bazele de date;
- trebuie efectuată copierea de rezervă şi restabilirea bazelor de date;
- trebuie asigurată securitatea conexiunilor prin reţea la bazele de date cu alte aplicaţii sau sisteme;
- trebuie efectuat auditul şi monitorizarea bazelor de date;
- trebuie asigurată securitatea fizică a bazelor de date.
4) Cerinţe privind reţeaua
Pentru asigurarea securităţii informaţiei a componentelor II este necesar de îndeplinit cerinţele generale privind reţelele:
- fiecare reţea trebuie să conţină propria sa infrastructură (router-e, switch-uri şi servere) şi să-şi execute propriile aplicaţii specifice;
- trebuie asigurată integritatea reţelelor şi a echipamentului de server;
- toate conexiunile administratorului, inclusiv accesul la distanţă, trebuie să corespundă cerinţelor de securitate sporite.
În procesul de creare a reţelelor locale urmează a fi utilizate următoarele echipamente şi tehnologii:
- switch-ul reglabil, care permite managementul configuraţiei reţelei locale;
- modem, care asigură navigarea utilizatorilor pe Internet;
- router-e, care asigură traficul între reţelele locale cu adrese de server diferite;
- server de autorizare a accesului care asigură organizarea accesului la resurse şi delimitarea accesului la propriile resurse şi la resursele din alte reţele.
Pentru a delimita accesul la reţeaua utilizatorilor este necesar de aplicat diverse metode de protecţie a reţelei:
- metodă bazată pe limitarea accesului fizic la reţea;
- metodă bazată pe transformarea semnalelor de pe linie într-un format care exclude recepţionarea sau denaturarea conţinutului transferului de către intrus (acces logic).
Pentru a limita accesul utilizatorilor la reţea este necesar de aplicat următoarele mijloace de limitare a accesului:
- limitarea accesului la nod – cu ajutorul mijloacelor de autentificare a utilizatorilor şi verificare a corectitudinii solicitărilor acestora trebuie să fie limitate solicitările de la staţiile de lucru la distanţă, trebuie să fie create listele de host-uri, care au autorizaţia de a se conecta la reţea;
- restricţii pentru redirecţionarea poştei – cu ajutorul fişierului în care trebuie să fie indicate nodurile care au permisiunea (interdicţia) de a utiliza serverul;
- limitarea accesului utilizatorilor la resurse – trebuie să fie utilizate fişiere, primul dintre care trebuie să reprezinte un tabel de acces al utilizatorilor, al doilea fişier trebuie să stabilească împuternicirile utilizatorilor privilegiaţi, iar al treilea fişier trebuie să includă restricţiile privind resursele stabilite pentru utilizator sau grupe de utilizatori.
5) Cerinţe privind infrastructura reţelei
Pentru a asigura securitatea informaţiei a componentelor II este necesar de a respecta următoarele cerinţe privind infrastructura reţelei autorităţilor administraţiei publice:
- trebuie efectuat controlul conectării la reţea între două staţii de lucru pentru a controla conformitatea conectării cu cerinţele şi obiectivele securităţii autorităţilor administraţiei publice;
- informaţia de acces limitat dezvăluită prin reţea trebuie protejată de intruşi cu ajutorul următoarelor mijloace de reţea:
a) firewall-uri – pentru delimitarea reţelelor locale şi globale;
b) router-e – pentru filtrarea traficului din reţea;
c) sisteme de prevenire a interferenţelor;
d) switch-uri – pentru prevenirea deteriorării pachetelor de date;
- trebuie asigurată criptarea întregii informaţii critice, transmise prin reţele, cu ajutorul mijloacelor de protecţie criptografică;
- trebuie asigurată disponibilitatea canalelor de comunicaţii alternative pentru readresarea datelor în caz de blocare a expedierii;
- trebuie delimitate reţelele conform obiectivelor şi funcţiilor îndeplinite în cadrul autorităţilor administraţiei publice.
6) Cerinţe privind mijloacele de reţea
Pentru a asigura securitatea informaţiei a II este necesar de utilizat următoarele mijloace de reţea:
a) switch-uri;
b) router-e;
c) firewall-uri.
a) Cerinţe privind switch-urile
Zonele de utilizare comună trebuie să fie protejate prin asigurarea securităţii configuraţiei switch-urilor, securităţii conectării la switch-uri, securităţii componentelor switch-urilor, securităţii sistemului de fişiere al switch-urilor, autorizării, mecanismelor de autentificare oferite, preciziei, procedurilor de restabilire.
Este necesar de îndeplinit următoarele cerinţe de securitate privind configuraţia switch-urilor:
- parola la încărcarea sistemului operaţional sau a programei urmează să fie instalată şi configurată astfel încît să fie cerută parola la încărcarea sistemului;
- autorizarea programului trebuie să fie configurată corect pentru a preveni destabilizarea sistemului de către utilizatori;
- în registrul de evidenţă a evenimentelor urmează să fie trecute următoarele înregistrări privind switch-urile:
a) despre utilizarea comenzilor privilegiate (de exemplu: accesul la un cont privilegiat, fişierele de audit sau fişierele de setare a sistemului);
b) despre lansarea şi închiderea switch-ului, a mijlocului de reţea;
c) despre testările eşuate în legătură cu datele şi schimbul;
d) despre crearea şi lichidarea utilizatorilor;
e) despre introducerea şi eliminarea datelor din arhivă;
f) despre modificarea profilurilor de securitate ale utilizatorilor, de management şi ale atributelor;
g) despre modificarea drepturilor privind controlul asupra accesului limitat.
Cerinţele privind prevenirea infectării sistemului de fişiere cu coduri maliţioase includ următoarele:
- toate fişierele executate de bază (Unix) sau de administrator (Windows) trebuie să aparţină înregistrării de evidenţă corespunzătoare şi nu pot fi utilizate la nivel general sau la nivel de grup;
- este necesar de asigurat integrabilitatea fişierelor utilizate la nivel general sau la nivel de grupă; în acest scop, este necesar de identificat toate fişierele din sistem care pot fi utilizate la nivel general şi de limitat accesul general;
- toate fişierele şi directoriile care pot fi citite la nivel general trebuie să se afle sub supravegherea administratorilor. Este interzisă prezenţa programelor utilizate la nivel general.
b) Cerinţe privind router-ele
Router-ele trebuie să realizeze controlul asupra traficului de reţea prin intermediul funcţiilor sale primare. Router-ele trebuie să exercite şi alte funcţii, cum ar fi filtrarea, determinînd tipul traficului autorizat în reţea şi direcţionînd pachetele conform destinaţiei.
Cerinţele de securitate privind router-ele includ:
- router-ele trebuie să susţină operaţiile de conectare ce se bazează pe parole sau pe alte metode de securitate;
- router-ul trebuie să asigure prima linie de protecţie prin sortarea anumitor tipuri de trafic cu ajutorul listei de control al accesului;
- accesul la router-e trebuie să fie permis doar personalului abilitat. În cazul în care router-ul are posibilitatea de a exercita controlul la distanţă, este necesar de dezactivat căile de acces la acestea;
- trebuie autorizată adresa de securitate pentru a preveni accesul la reţea de la staţii de lucru neautorizate;
- toate listele de control al accesului trebuie să fie configurate în modul corespunzător pentru a garanta securitatea informaţiei a II;
- trebuie asigurată integritatea fişierelor de configuraţie a router-elor, iar accesul la acestea urmează să fie permis doar personalului abilitat;
- trebuie instalată şi utilizată ultima versiune a sistemului operaţional a router-elor pentru funcţionalitatea actualizată, elementele de securitate şi ajustarea deficienţelor din software;
- trebuie configurate listele de acces pentru autorizarea doar a protocoalelor necesare pentru direcţia corespunzătoare. Sortarea protocoalelor nedorite trebuie să limiteze accesul la reţelele organizaţiilor;
- trebuie realizată procedura de management, de schimbare a parolelor, de modificare a listei de acces (în caz de necesitate) pentru adăugarea/modificarea/eliminarea protocoalelor sau a regulilor de setare;
- trebuie aplicate metode de autentificare pentru router-e, accesul la care urmează să fie permis doar personalului abilitat;
- trebuie schimbate parolele atunci cînd au loc schimbări în componenţa personalului, precum şi după expirarea unei anumite perioade de timp.
c) Cerinţe privind firewall-urile
Pentru asigurarea nuvelului necesar constant al securităţii informaţiei trebuie utilizate firewall-urile. Firewall-urile în îmbinare cu router-ele trebuie să asigure o restricţionare majoră a accesului neautorizat comparativ cu utilizarea doar a router-elor sau firewall-urilor.
Firewall-urile trebuie să fie:
- proiectate în mod special pentru asigurarea securităţii informaţiei;
- configurate în scopul asigurării traficului necesar în reţele;
- dotate cu capacitatea de conectare extensivă a înregistrărilor de evidenţă, ceea ce se referă la identificarea utilizatorilor, tipul traficului, tipul aplicaţiei şi controlul numărului de pachete expediate, recepţionate şi refuzate.
Pentru a asigura securitatea informaţiei a II este necesar de respectat următoarele cerinţe de securitate privind utilizarea firewall-urilor din infrastructura reţelei autorităţilor administraţiei publice:
- la nivel minim, firewall-ul trebuie să separe reţeaua Internet şi alte reţele publice de reţelele locale ale autorităţilor administraţiei publice;
- este necesar de utilizat mijloace criptografice pentru transmiterea datelor critice prin firewall;
- ansamblul de reguli ale firewall-ului urmează să corespundă listei de acces a router-ului;
- ansamblul de reguli ale firewall-ului şi listele de acces urmează să autorizeze doar posibilităţile reţelei care sînt necesare pentru serviciile de producere;
- trebuie respectate procedurile specifice ale autorităţilor administraţiei publice, iar în caz de necesitate de modificat lista de acces pentru adăugarea/modificarea/eliminarea protocoalelor sau a regulilor de setare;
- trebuie asigurată integritatea firewall-urilor.
7) Cerinţe privind mijloacele de suport a funcţionării infrastructurii informaţionale
Pentru a îmbunătăţi nivelul calităţii şi securităţii funcţionării autorităţilor administraţiei publice, faţă de mijloacele de suport a funcţionării II sînt înaintate următoarele cerinţe obligatorii:
- să se asigure evidenţa complexă şi controlul asupra resurselor informaţionale;
- să fie efectuată monitorizarea utilizării aplicaţiilor pe servere, la staţiile de lucru şi pe alte dispozitive ale clienţilor;
- să se asigure evidenţa şi inventarierea mijloacelor software şi hardware;
- să fie efectuată distribuirea corectărilor şi actualizărilor, managementul configuraţiilor de sistem şi reculul instalaţiilor pe diverse platforme software şi hardware, creînd condiţii pentru ridicarea nivelului de operativitate a activităţii autorităţilor administraţiei publice;
- să se asigure administrarea sigură a serverelor, staţiilor de lucru şi al aplicaţiilor de reţea la distanţă, precum şi managementul sigur la distanţă al utilizatorilor;
- să se efectueze controlul accesibilităţii şi productivităţii componentelor infrastructurii;
- să se asigure păstrarea şi managementul resurselor informaţionale;
- să se asigure suportul transmiterii de date audio, digitale şi video;
- să fie efectuată testarea diferitor configuraţii şi evaluarea modificărilor productivităţii în cazul modificării parametrilor sistemului;
- să se asigure suportul funcţiei de autentificare reciprocă a serverelor.
8) Cerinţe privind mijloacele multimedia
Pentru a asigura securitatea informaţiei a componentelor II, este necesar de a respecta următoarele cerinţe privind mijloacele multimedia:
- să se asigure securitatea arhitecturii de reţea destinată pentru transmiterea traficului multimedia;
- să se asigure integritatea datelor multimedia în procesul transmiterii acestora;
- să se asigure protecţia împotriva pierderii pachetelor multimedia şi a prelucrării neautorizate a acestora;
- să fie repartizată capacitatea de transmitere în dependenţă de funcţiile executate;
- să fie aplicate algoritmele de comprimare a datelor multimedia fără pierderi pentru restabilirea ulterioară a acestora;
- să se asigure transmiterea la timp şi corectă a datelor multimedia;
- să se asigure disponibilitatea mijloacelor de păstrare a fişierelor grafice şi a fişierelor audio.
9) Cerinţe privind centrul de guvernare electronică
Centrul de guvernare electronică trebuie să îndeplinească următoarele acţiuni:
- prelucrarea apelurilor şi asigurarea legăturii primare cu solicitantul;
- ţinerea registrelor de evidenţă şi urmărirea incidentelor;
- informarea solicitanţilor privind situaţia solicitărilor şi procesul de executare a acestor solicitări;
- efectuarea unei evaluări iniţiale a solicitărilor şi satisfacerea lor sau redirecţionarea acestora către grupurile speciale de deservire;
- efectuarea procedurilor de monitorizare;
- managementul ciclului de viaţă al solicitării, inclusiv închiderea şi verificarea;
- notificarea solicitanţilor privind modificările planificate sau de termen scurt din domeniul deservirii;
- furnizarea informaţiei şi recomandărilor administrative privind îmbunătăţirea deservirii;
- stabilirea necesităţilor solicitantului de a beneficia de instruire;
- închiderea incidentelor şi confirmarea închiderii la solicitant;
- participarea la identificarea problemelor.
În vederea soluţionării unui şir de aspecte ce ţin de management, centrul de guvernare va respecta cerinţele privind:
- structura organizaţională (oficiu separat, cîteva oficii sau un oficiu central, numărul de solicitanţi deserviţi, orele de asigurare a suportului, limbile de comunicare a personalului din cadrul centrului de guvernare electronică cu solicitanţii);
- sfera, numărul şi tipurile de aplicaţii care trebuie susţinute (standard, specializate, executate la comandă);
- cerinţele generale ale organizaţiei;
- infrastructura de reţea;
- sfera, numărul şi tipurile de hardware/tehnologii care trebuie susţinute;
- renovarea tehnologiilor;
- clasificarea solicitărilor;
- experienţa utilizatorilor;
- numărul de colaboratori ai centrului de guvernare electronică.
În caz de acordare a suportului în regim de 24/24 ore, trebuie luate în consideraţie următoarele aspecte:
- posibilitatea de interacţiune a sistemelor/mijloacelor de telecomunicaţii;
- accesibilitatea şi suportul în limbile locale;
- necesitatea de a asigura centrul de guvernare electronică cu personal ce cunoaşte mai multe limbi;
- utilizarea proceselor de management al incidentelor coordonate.
9. Cerinţe către măsurile şi mijloacele de asigurare a securităţii informaţiei a infrastructurii informaţionale în cadrul abordării structurate
1) Cerinţe privind identificarea, autentificarea şi autorizarea
Gestionarea identificării, autentificării şi autorizării trebuie să asigure securitatea, fiabilitatea şi protecţia al utilizatorilor identificaţi şi al accesului la componentele II.
Structura gestionării identificării, autentificării şi autorizării trebuie să includă următoarele componente:
- concepţia securităţii componentelor II care conţine:
a) importanţa securităţii informaţiei a componentelor II;
b) necesitatea de a proteja resursele informaţionale;
c) descrierea gestiunii datelor privind resursele informaţionale;
d) metoda de abordare a managementului riscurilor;
- strategia de gestionare a identificării, autentificării şi autorizării care conţine:
a) obiectivele gestiunii identificării, autentificării şi autorizării;
b) criteriile şi factorii de succes;
c) avantajele preconizate pentru afaceri, precum sînt procesele perfecţionate, reducerea costului, îmbunătăţirea calităţii procesului de prestare a serviciilor şi ridicarea nivelului productivităţii;
- politica şi standardele – stabilesc metoda de abordare a gestiunii sau acţiunilor pentru asigurarea protecţiei, fiabilităţii şi conformităţii cu cerinţele legislaţiei şi ale auditului;
- arhitectura gestionării identificării, autentificării şi autorizării care conţine:
a) repozitoriul pentru înregistrările de evidenţă a utilizatorilor şi profilurile acestora;
b) supravegherea permanentă a managementului ciclului de viaţă a profilurilor utilizatorilor;
c) diverse metode de autentificare, inclusiv parole, e-token, smart-card şi certificate digitale;
d) managementul accesului care stabileşte politica de acces la componentele infrastructurii;
- specificaţiile – trebuie să includă cerinţele privind determinarea tehnologiilor necesare de identificare, autentificare şi autorizare, în baza cerinţelor funcţionale, precum şi etapele implementării tehnologiilor respective.
Respectînd toate cerinţele privind procedurile de identificare, autentificare şi autorizare urmează să fie obţinute următoarele avantaje:
- perfecţionarea experienţei utilizatorilor în sfera gestionării identităţii, ceea ce va conduce la disponibilitatea utilizatorilor productivi şi la soluţionarea economică a sarcinilor fixate cu ajutorul II;
- extinderea integrării componentelor II, asigurîndu-se protecţia investiţională şi reducerea riscurilor;
- platforma multifuncţională care întruneşte soluţiile pentru diverse cerinţe de funcţionare a autorităţilor administraţiei publice;
- gestionarea centralizată a datelor procedurilor;
- extinderea securităţii, ce asigură niveluri înalte de securitate în situaţia riscurilor ascendente.
Pentru procedurile de identificare, autentificare şi autorizare trebuie să fie elaborate, documentate şi periodic reînnoite politica de identificare şi autentificare, precum şi procedurile şi măsurile legate de implementarea acesteia.
Politica de identificare şi autentificare trebuie să includă în mod obligatoriu următoarele:
- cerinţele privind crearea şi utilizarea înregistrărilor de evidenţă;
- cerinţele privind metodele de autentificare aplicate;
- cerinţele privind managementul parolelor;
- cerinţele privind managementul şi controlul drepturilor de acces;
- cerinţele securităţii privind utilizatorii.
a) Cerinţe privind identificarea
Pentru a asigura securitatea informaţiei a II este necesar de îndeplinit următoarele cerinţe privind sistemele de identificare:
- trebuie gestionate în mod centralizat înregistrările de evidenţă ale utilizatorilor;
- crearea, lichidarea şi managementul accesului utilizatorilor trebuie să fie automatizate;
- managementul identificatorilor utilizatorilor trebuie să fie asigurat prin:
a) identificarea unică a fiecărui utilizator;
b) verificarea autenticităţii fiecărui utilizator;
c) obţinerea autorizaţiei de eliberare a identificatorului pentru utilizator de la persoana cu funcţie de răspundere;
d) garantarea faptului că identificatorul utilizatorului este eliberat unei persoane predeterminate;
e) dezactivarea înregistrării de evidenţă a utilizatorului după intervalul de timp de inactivitate (pasivitate) setat;
f) ţinerea evidenţei copiilor de arhivă a identificatorilor utilizatorilor;
- gestionarea identificatorilor utilizatorilor urmează să fie efectuată doar de către persoane abilitate;
- trebuie efectuat în mod regulat controlul asupra identificării utilizatorilor;
- trebuie aplicată identificarea unică a utilizatorilor.
Este necesar de îndeplinit următoarele cerinţe privind înregistrările de evidenţă ale utilizatorilor:
- fiecare înregistrare de evidenţă trebuie să fie unică şi să aparţină unei singure persoane;
- o notificare de avertizare trebuie să fie generată în toate cazurile de conectare a utilizatorului, precum şi după identificarea/autentificarea acestuia;
- trebuie întreruptă conexiunea utilizatorului după un şir de încercări eşuate (sînt admise 5 încercări eşuate);
- trebuie anulate toate înregistrările de evidenţă ale utilizatorilor care nu au fost utilizate în decursul a 30 de zile. Administraţia este în drept să dezactiveze înregistrările de evidenţă a utilizatorilor temporari;
- trebuie deconectat sau blocat calculatorul utilizatorilor în cazul în care aceştia îşi părăsesc locul de muncă pentru o anumită perioadă de timp. În cazul în care calculatorul nu este utilizat timp de 15 minute, calculatorul respectiv urmează să blocheze sesiunea curentă;
- este interzisă utilizarea unei singure înregistrări de evidenţă de către mai mulţi utilizatori;
- formatul înregistrărilor de evidenţă urmează să fie documentat şi unic pentru toţi utilizatorii;
- trebuie indicate înregistrările de evidenţă unice ale administratorilor care trebuie să fie diferite de cele ale utilizatorilor;
- fiecare înregistrare de evidenţă trebuie să fie limitată reieşind din funcţiile îndeplinite, cu ajutorul software-ului de sistem, sistemului operaţional şi a gestiunii aplicaţiilor.
b) Cerinţe privind autentificarea
Autentificarea este procesul de stabilire dacă un obiect sau o afirmaţie sînt adevărate, aşa cum pretinde cineva. Autentificarea utilizatorilor se atribuie la nivelul logic de asigurare a securităţii informaţiei şi din acest motiv urmează să fie utilizată pentru toate componentele II (aplicaţii, baze de date, procese).
Sînt necesare diverse metode de autentificare în funcţie de resursele la care este necesar accesul şi de nivelul de protecţie aplicat pentru resursele respective:
- date biometrice;
- recunoaşterea parolelor, e-token-urilor, smart-card-urilor şi a certificatelor digitale;
- parole şi ID pentru conectare;
- chei fizice;
- absenţa metodelor.
Faţă de procesul autentificare sînt stabilite următoarele cerinţe:
- trebuie autorizate doar înregistrările de evidenţă ale utilizatorilor care sînt necesare pentru lucru;
- toate înregistrările de evidenţă a vizitatorilor trebuie să fie dezactivate;
- trebuie prezentată o avertizare de securitate pînă la autorizarea care trebuie să informeze utilizatorul despre restricţiile aplicate în procesul de autorizare;
- fiecare utilizator trebuie să fie autentificat cu succes pînă la autorizarea executării acţiunilor;
- numărul de încercări eşuate de conectare trebuie să fie limitat, iar utilizatorul urmează să fie blocat pentru a exclude posibilitatea repetării conectării în viitor (sînt admise 5 încercări eşuate);
- în caz de producere a evenimentelor respective, sistemul informaţional urmează să expedieze automat notificări în adresa personalului care urmează să autorizeze deblocarea utilizatorului după efectuarea unei analize;
- gestiunea mijloacelor de autentificare trebuie să fie asigurată prin:
a) determinarea componenţei iniţiale a mijloacelor de autentificare;
b) determinarea procedurilor administrative care reglementează procesul de distribuire şi anulare a mijloacelor de autentificare, precum şi a acţiunii în caz de pierdere/compromitere sau dereglare;
c) modificarea informaţiei de autentificare utilizate în mod automat după instalarea sistemului;
- trebuie asigurată conexiunea inversă cu utilizatorul în momentul cînd acesta parcurge procedura de autentificare; această conexiune însă nu trebuie să compromită mecanismul autentificării;
- toate parolele şi datele de autentificare trebuie să fie protejate împotriva accesului neautorizat;
- autentificarea utilizatorilor trebuie să fie auditată;
- trebuie ţinută evidenţa utilizatorilor, înregistrărilor de evidenţă şi a parolelor acestora de către persoanele responsabile pentru restabilirea parolelor cu organizarea ulterioară a accesului persoanei abilitate.
Una din metodele de autentificare este utilizarea parolelor, în privinţa căreia este necesar de respectat următoarele cerinţe:
- parola trebuie să conţină litere şi cifre;
- parola trebuie să conţină cel puţin opt simboluri;
- parola nu trebuie să fie formată doar din litere sau cifre, ele trebuie să fie combinate;
- parola nu trebuie să conţină repetări de simboluri;
- parolele trebuie să fie schimbate cel puţin o dată la 90 de zile;
- în baza de date este necesar de păstrat istoria parolelor (se recomandă păstrarea a ultimelor 6 parole) pentru a preveni utilizarea repetată a acestora;
- utilizatorii trebuie informaţi că nu se admite alegerea zilelor de naştere ale utilizatorilor, numelor rudelor sau apropiaţilor sau altor date personale în calitate de parole;
- se recomandă adăugarea simbolurilor speciale în parolă;
- parola nu trebuie să fie identică cu parola profilului administratorului;
- parola nu trebuie să repete o parte din profilul utilizatorului.
Utilizatorii trebuie să respecte următoarele cerinţe privind păstrarea datelor de autentificare:
- utilizatorii sînt obligaţi să respecte cerinţele prevăzute în documentele organizatorice şi de dispozitive cu privire la utilizarea staţiilor de lucru;
- utilizatorii sînt obligaţi să păstreze confidenţialitatea parolei de acces la resursele din reţea şi sisteme;
- utilizatorii nu trebuie să comunice parola personală unei alte persoane, chiar dacă această persoană este un angajat al organizaţiei;
- utilizatorii sînt obligaţi să introducă parola şi alte date de identificare după ce s-au asigurat că tastiera nu este vizibilă pentru alţi angajaţi;
- utilizatorii sînt obligaţi să schimbe periodic (cel puţin o dată la trei luni) parola de acces la resursele din sistem şi reţea, de sine stătător sau cu ajutorul administratorului;
- utilizatorii sînt obligaţi să nu utilizeze parolele care pot fi uşor identificate sau care au fost deja utilizate;
- este interzisă fixarea datelor personale de identificare (parole, identificatori, chei) de către utilizatori pe suporturi rigide (inclusiv de hîrtie).
c) Cerinţe privind autorizarea
Autorizarea reprezintă un proces de luare a deciziilor privind acordarea accesului utilizatorului la resursă sau la sistem.
Dreptul de acces implică diverse niveluri de control al accesului la un obiect anumit. Drepturile de acces trebuie să fie stabilite pentru:
- utilizatorii de obiecte;
- grupurile din care face parte utilizatorul;
- alte persoane.
Drepturile de acces de bază trebuie să includă următoarele:
- doar în citire – utilizatorului urmează să-i fie permisă vizualizarea datelor. La prezenţa acestor drepturi de acces utilizatorul nu poate să introducă modificări;
- citire şi modificare - utilizatorului urmează să-i fie permisă citirea, modificarea şi lichidarea datelor, precum şi dreptul la modificarea eventuală a drepturilor de acces.
La autorizarea utilizatorilor este necesar de respectat următoarele cerinţe:
- mecanismul de autorizare trebuie să se declanşeze doar după autentificarea cu succes a utilizatorului;
- mecanismele de autorizare trebuie să gestioneze accesul la nivelul URL: File şi URL;
- gestiunea drepturilor de acces trebuie să se bazeze pe structurarea utilizatorilor în grupuri şi pe roluri;
- drepturile de acces urmează să fie acordate doar în baza fişelor de post şi cerinţelor de serviciu;
- obiectele la care accesul public este necesar urmează să fie amplasate într-o zonă publică cu drepturi de acces corespunzătoare;
- drepturile de utilizator trebuie să fie prioritare drepturilor de grup. Administratorul obiectului urmează să deţină controlul deplin asupra obiectului respectiv şi asupra drepturilor de acces la acest obiect;
- ordinea priorităţilor privind accesul la obiect trebuie să fie următoarea: administrator, proprietar, grup, acces public;
- trebuie aplicate drepturile de acces presetate ale utilizatorilor;
- data modificării şi accesul la obiect trebuie să fie atribuite la drepturile administratorului. În caz de modificare a oricăror drepturi de acces, administratorii trebuie să urmărească modificările respective şi să ia decizii cu privire la reconfigurarea acestora în caz de necesitate;
- autorizarea utilizatorului privind utilizarea resursei trebuie să fie însoţită de o înregistrare în registru pentru a asigura posibilitatea efectuării unei analize în caz de survenire a unor neclarităţi în legătură cu starea resursei.
2) Cerinţe privind managementul accesului
Pentru asigurarea securităţii informaţiei trebuie utilizate mecanismele de management a accesului, ce asigură delimitarea accesului subiecţilor la componentele protejate ale II.
Cerinţele privind sistemul de management al accesului includ următoarele:
- controlul accesului trebuie să fie exercitat în raport cu fiecare obiect (componentă) şi fiecare subiect (persoană sau grup de persoane);
- să se efectueze gestiunea unică a înregistrărilor de evidenţă în diverse sisteme, care permite de a automatiza aplicarea politicii de securitate adoptate în cadrul organizaţiei în domeniul controlului accesului (inclusiv mobil) la diverse resurse informaţionale, aplicaţii şi servicii;
- trebuie menţinute mijloacele moderne de autentificare (inclusiv cel cu ajutorul mai multor factori, care include şi biometria) cu posibilitatea de înregistrare unică în sistem;
- trebuie efectuat controlul asupra ciclului de viaţă al utilizatorului în sisteme din momentul angajării lucrătorului pînă la eliberarea acestuia din serviciu;
- să se asigure sincronizarea automată a înregistrărilor de evidenţă a utilizatorilor din toate sistemele conectate (în primul rînd din întregul sistem de evidenţă a cadrelor) în conformitate cu politicile şi regulile din cadrul autorităţilor administraţiei publice;
- să se utilizeze mijloacele de configurare, management şi monitorizare a activităţii sistemului de management al accesului, precum şi mijloacele de ţinere a registrelor şi de audit independent;
- să se asigure integrarea cu sisteme externe de monitorizare, de audit al securităţii şi de suport.
Este necesar de aplicat două modele de management al accesului: discret şi pe bază de mandat.
Faţă de modelul discret de management al accesului sînt stabilite următoarele cerinţe:
- sistemul de protecţie trebuie să controleze accesul utilizatorilor nominalizaţi la obiectele nominalizate (fişiere, programe etc.);
- pentru fiecare pereche subiect-obiect urmează să fie setată o listă reală şi exactă a tipurilor acceptabile de acces;
- sistemul de protecţie trebuie să conţină un mecanism ce materializează regulile discrete de delimitare a accesului;
- controlul accesului trebuie să fie aplicabil în raport cu fiecare obiect şi fiecare utilizator;
- mecanismul ce realizează principiul discret de control al accesului trebuie să prevadă posibilităţile de modificare sancţionată a regulilor sau a drepturilor de delimitare a accesului;
- trebuie prevăzute mijloace de management ce limitează distribuirea drepturilor de acces.
Cerinţele privind mecanismul de management a accesului pe bază de mandat includ următoarele:
- pentru fiecare subiect şi obiect al accesului urmează să fie alocate categorii de acces la informaţie, care reprezintă baza principiului de mandat de delimitare a accesului;
- sistemul de protecţie la introducerea noilor date în sistem trebuie să solicite şi să primească de la utilizatorul sancţionat menţiunile de clasificare ale acestor date. La introducerea sancţionată a unui nou subiect în lista utilizatorilor, acestuia urmează să-i fie alocate menţiuni de clasificare. Menţiunile de clasificare externe (ale subiecţilor, obiectelor) trebuie să corespundă cu exactitate menţiunilor interne (în interiorul sistemului de protecţie);
- sistemul de protecţie trebuie să realizeze principiul de mandat al controlului accesului în raport cu toate obiectele în caz de acces deschis sau secret din partea oricărui utilizator:
a) subiectul poate citi obiectul doar în cazul în care nivelul subiectului nu este mai jos decît cel necesar obiectului;
b) subiectul efectuează înregistrarea în obiect doar în cazul cînd nivelul subiectului nu este mai înalt decît cel necesar obiectului;
- este necesar de a dispune de posibilitatea de mentenanţă, modificare a nivelurilor ale subiecţilor şi obiectelor de către subiecţi desemnaţi în mod special;
- trebuie aplicate mijloace care să efectueze captarea tuturor solicitărilor de obiecte din partea subiecţilor şi delimitarea accesului în conformitate cu principiul stabilit.
3) Cerinţe privind protecţia antivirus
Pentru a asigura securitatea informaţiei a componentelor II este necesar de a realiza următoarele măsuri în materie de protecţie antivirus:
- măsuri preventive, care previn atacurile cu viruşi prin lichidarea punctelor vulnerabile care sînt cauza producerii lor;
- măsuri orientate spre depistarea şi blocarea la timp a atacurilor cu viruşi şi spam-ului;
- măsuri, cu ajutorul cărora sînt depistate şi lichidate consecinţele pericolelor de viruşi pentru minimizarea prejudiciului cauzat în rezultatul realizării codului de viruşi.
Programele antivirus aplicate pentru componentele II trebuie să corespundă următoarelor cerinţe:
- software-ul trebuie să scaneze toată informaţia ce vine din exterior în materie de fişiere executabile infectate;
- să se utilizeze în mod optim şi raţional resursele memoriei operative şi ale procesorului;
- să se asigure protecţia antivirus în componentele II, inclusiv posibilitatea de actualizare automată a mijloacelor de protecţie antivirus;
- actualizarea mecanismelor de protecţie antivirus trebuie să se efectueze în mod automat;
- să se asigure o gestionare centralizată a mecanismelor de protecţie antivirus.
Pentru a asigura protecţia antivirus este necesar de utilizat următoarele tipuri de programe antivirus:
- programe-detectori, care efectuează căutarea semnăturii caracteristice pentru un anumit virus în memoria operativă şi în fişiere, şi care emit o notificare corespunzătoare în caz de depistare;
- programe-doctori, care efectuează căutarea viruşilor în memoria operativă, îi distruge şi, doar după aceasta, îi tratează;
- programe-inspectori, care verifică datele de pe disc în materie de viruşi invizibili, cercetează dacă virusul a ajuns în fişiere, dacă nu sînt elemente străine în sectorul de încărcare a hard-disk-ului, dacă nu sînt modificări nesancţionate în registrul sistemului operaţional, nu trebuie să utilizeze mijloacele sistemului operaţional pentru a accesa discurile;
- programe-filtre, care depistează acţiunile suspecte din activitatea staţiei de lucru, acţiuni care sînt caracteristice pentru viruşi (de exemplu: încercări de corectare a fişierelor cu extensiile „com”, „exe”; modificarea atributelor fişierelor, înregistrarea directă pe disc la adresa absolută, înregistrarea în sectoarele de încărcare de pe disc şi încărcarea programei rezidente), precum şi care îi expediază utilizatorului un mesaj şi care recomandă interzicerea sau permiterea acţiunii respective;
- programe-vaccinuri (imunizatoare), care previn infectarea fişierelor prin modificarea programelor sau discurilor, astfel încît să se evite afectarea funcţionării acestora, iar virusul să le accepte ca infectate;
- scanerul, care verifică fişierele, sectoarele şi memoria de sistem, precum şi care le verifică dacă nu conţin viruşi cunoscuţi sau noi, cu ajutorul aşa-numitelor „măşti”.
4) Cerinţe privind ţinerea registrelor de evenimente
Pentru a asigura securitatea informaţiei trebuie ţinute registrele de evidenţă a evenimentelor, care permite efectuarea analizei evenimentelor curente legate de funcţionarea componentelor infrastructurii.
În registrul evenimentelor urmează să fie incluse următoarele evenimente:
- alarme şi avertizări generate de sistemul de depistare a interferenţei;
- toate operaţiile legate de procedurile care prevăd operarea cu certificatele abonaţilor (acordarea, anularea, suspendarea, reînnoirea, modificarea);
- fiecare modificare a structurii echipamentului sau a software-ului;
- modificarea topologiei reţelelor sau conexiunilor de reţea;
- modificarea parolelor, numerelor de identificare personală, a drepturilor şi obligaţiunilor de serviciu;
- tentative realizate sau eşuate de acces la baza de date şi la serverele autorităţilor administraţiei publice;
- fiecare mesaj recepţionat de la abonat, fiecare solicitare şi fiecare confirmare din partea abonatului sau solicitantului;
- istoria creării copiilor de rezervă şi alte înregistrări cu caracter informativ din arhive, precum sînt bazele de date.
În procesul ţinerii registrelor de evenimente este necesar de respectat următoarele cerinţe:
- conţinutul înregistrării din registrul evenimentelor trebuie să includă următoarea informaţie:
a) data producerii evenimentului;
b) timpul producerii evenimentului;
c) înregistrarea de evidenţă a utilizatorului;
d) tipul evenimentului;
e) identificatorul evenimentului;
f) înregistrarea deciziei luate cu privire la eveniment, adică „executată” sau „a generat o eroare”;
- trebuie întreprinse măsuri privind protecţia datelor critice ce se conţin în rapoartele de audit;’
- trebuie întreprinse măsuri privind depistarea şi prevenirea înregistrărilor nesancţionate în registrul evenimentelor;
- toate înregistrările din registre trebuie să fie analizate în mod detaliat cel puţin o dată pe lună;
- trebuie ţinute registre separate pentru fiecare server şi staţie de lucru;
- în cazul completării registrului, acesta urmează să fie arhivat şi este necesar de creat altul nou;
- registrele evenimentelor trebuie să fie supuse copierii de rezervă obligatorii;
- fiecare registru în format electronic sau de hîrtie trebuie să fie verificat în procesul de auditare a sistemului;
- înregistrările din registrele evenimentelor trebuie să corespundă formatului care să permită citirea fără aplicarea unui software de decodificare sau a unui software analitic suplimentar;
- în scopul asigurării securităţii mediului operaţional este necesar de a dispune de acces la înregistrările din registrele evenimentelor în caz de survenire a unei situaţii de urgenţă;
- registrele de evenimente trebuie să fie arhivate şi păstrate în modul stabilit de prevederile legislaţiei în vigoare;
- arhivarea registrelor trebuie să fie reflectată în registre pe suport de hîrtie în prezenţa administratorului în securitate, administratorului de sistem şi a auditorului;
- toate copiile de arhivă de pe registrele evenimentelor trebuie să fie marcate temporar;
- în anumite situaţii înregistrările trebuie să fie integrate în programul general de monitorizare a securităţii sistemelor informaţionale;
- operaţiile legate de registru urmează să fie executate doar de persoane abilitate;
- administratorii de sistem nu sînt autorizaţi să lichideze din proprie iniţiativă rapoartele privind registrele sau să anuleze generarea lor.
5) Cerinţe privind copierea de rezervă şi restabilirea componentelor infrastructurii informaţionale
Pentru a asigura securitatea informaţiei realizarea copierii de rezervă trebuie să asigure atingerea obiectivelor următoare:
- asigurarea restabilirii cu succes a datelor de rezervă pentru utilizarea lor în regim normal;
- asigurarea dublării datelor pentru arhivarea şi păstrarea lor în decursul perioadei stabilite.
Datele ce urmează a fi supuse copierii de rezervă includ următoarele:
- discurile de instalare a aplicaţiilor de sistem şi a sistemelor;
- discurile de instalare cu software-ul autorităţilor administraţiei publice;
- datele privind bazele de date;
- datele despre utilizatorii şi colaboratorii din cadrul autorităţilor administraţiei publice;
- registrele evenimentelor.
Cerinţele privind sistemele de copiere de rezervă şi de restabilire includ:
- verificarea autenticităţii conţinutului copiilor de rezervă;
- testarea procesului de restabilire a copiilor de rezervă;
- pentru copiile de rezervă urmează să fie prevăzute condiţii de păstrare în siguranţă, precum şi domeniile electromagnetice, temperatura, umiditatea, eforturile uşoare şi mecanice;
- stabilirea şi respectarea condiţiilor de păstrare a utilităţii şi viabilităţii copiilor de rezervă;
- aplicarea a două metode de creare a copiilor de rezervă: copierea de rezervă a bazelor de date şi copierea de rezervă pentru restabilirea rapidă a configuraţiilor, parametrilor echipamentului şi software-ului;
- stabilirea conţinutului informaţiei ce urmează a fi supusă copierii de rezervă;
- crearea copiilor de rezervă a datelor de pe fiecare server şi din fiecare bază de date;
- crearea şi testarea în mod regulat a copiilor de rezervă ale datelor şi ale software-ului;
- stabilirea echipamentului corespunzător pentru copierea de rezervă, care să garanteze restabilirea informaţiilor necesare în totalitate şi a software-ului după dereglarea purtătorilor de informaţie sau după accident;
- documentarea procedurilor de copiere şi restabilire a informaţiei, generarea rapoartelor exacte şi depline despre copiile de rezervă;
- stabilirea volumului copierii de rezervă, copierea completă şi selectivă, şi frecvenţa efectuării acesteia;
- testarea şi verificarea procedurilor de restabilire a informaţiei pentru asigurarea garanţiei eficienţei acestora;
- protejarea copiilor de rezervă prin codificare;
- copierea de rezervă trebuie să cuprindă tot sistemul informaţional, aplicaţiile, datele necesare pentru restabilirea completă a sistemului după calamitate sau accident;
- stabilirea perioadelor de timp pentru păstrarea informaţiei, precum şi cerinţele pentru copiile de arhivă salvate în mod permanent.
Procesul de management al copierii de rezervă şi restabilirii trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
6) Cerinţele privind securitatea fizică a componentelor infrastructurii informaţionale
Pentru a asigura securitatea informaţiei securitatea fizică trebuie să asigure atingerea obiectivelor următoare:
- susţinerea integrităţii produselor şi serviciilor acordate utilizatorilor de către autorităţile administraţiei publice;
- prevenirea accesului nesancţionat, pierderii de informaţii, de software şi hardware.
Cerinţele privind securitatea fizică includ următoarele:
- trebuie asigurată protecţia împotriva următoarelor situaţii:
a) accesul nesancţionat în încăperi;
b) incendii şi inundaţii;
c) radiaţie electromagnetică;
d) jafuri şi furturi;
e) explozii;
- trebuie de asigurat cu posturi centrale şi personal de gardă, precum şi de utilizat următoarele mijloace tehnice de protecţie a obiectelor:
a) sisteme automatizate de control al accesului;
b) dispozitive de protecţie şi mijloace de semnalizare;
c) mijloace de supraveghere;
d) echipamentul din punctul de supraveghere centralizată;
e) lacăte mecanice;
f) sistem de dublare şi mijloace de alimentare cu curent electric;
- trebuie asigurată protecţia perimetrului fizic al autorităţilor administraţiei publice şi a tuturor componentelor II.
Procesul de gestionare a securităţii fizice trebuie să fie documentat în mod formal şi trebuie să fie stabilită răspunderea pentru acest proces. Politica securităţii fizice a II trebuie să includă în mod obligatoriu următoarele componente:
- cerinţele privind sistemele de control al accesului;
- cerinţele privind sistemul de rezervă;
- cerinţele privind sistemele de depistare a intruziunilor fizice.
7) Cerinţe privind mijloacele de protecţie criptografică a informaţiei care nu se atribuie la secret de stat
Obiectivul aplicării mijloacelor de protecţie criptografică a informaţiei constă în protecţia confidenţialităţii, autenticităţii şi integrităţii informaţiei.
Pentru a asigura protecţia informaţiei, este necesar de utilizat următoarele sisteme criptografice moderne:
- sisteme criptografice cu cheie privată (criptoalgoritme asimetrice, RSA, DSA);
- criptoalgoritme simetrice: AES (256);
- hash-algoritme.
Utilizarea acestor sisteme criptografice este obligatorie în următoarele cazuri:
- transmiterea informaţiei critice prin canalele de comunicaţii (de exemplu: poşta electronică);
- stabilirea autenticităţii mesajelor transmise;
- păstrarea informaţiei (documente, baze de date) pe purtători în format criptat.
Cerinţele privind mijloacele de protecţie criptografică trebuie să includă următoarele:
- cerinţe de fiabilitate:
a) mijloacele de protecţie trebuie să asigure nivelul stabilit de fiabilitate a transformărilor criptografice aplicate ale informaţiei, determinat de valoarea probabilităţii acceptabile a defectărilor şi deranjamentelor, care duc la obţinerea de către intrus a informaţiei suplimentare despre transformările criptografice;
b) iniţializarea (managementul, ajustarea şi montarea) mijloacelor de protecţie criptografică nu trebuie să înrăutăţească proprietăţile mijloacelor în materie de parametri ai fiabilităţii;
- cerinţe privind protecţia împotriva accesului nesancţionat – în cadrul sistemelor informaţionale pentru care sînt realizate mijloace software şi hardware de protecţie criptografică a informaţiei, în caz de păstrare şi prelucrare a informaţiei, trebuie prevăzute următoarele mecanisme esenţiale de protecţie:
a) identificarea şi autentificarea subiecţilor accesului;
b) managementul accesului;
c) ţinerea registrelor de evenimente;
- cerinţe privind elaborarea, executarea şi funcţionarea mijloacelor de protecţie criptografică a informaţiei – mijloacele hardware şi software, în baza cărora sînt elaborate sistemele de protecţie criptografică a informaţiei, nu trebuie să conţină posibilităţi funcţionale care să permită:
a) modificarea sau înlocuirea algoritmului de lucru al mijloacelor de protecţie a informaţiei în procesul elaborării, executării şi exploatării acestora;
b) modificarea sau înlocuirea fluxurilor informaţionale aferente funcţionării mijloacelor;
c) realizarea accesului persoanelor terţe la cheile informaţiei de identificare sau de autentificare;
d) obţinerea accesului la informaţie a mijloacelor de protecţie criptografică a informaţiei;
- cerinţele privind asigurarea securităţii cheilor de criptare şi ale semnăturii digitale:
a) toate cheile de criptare, cheile semnăturii digitale şi dischetele de instalare, destinate pentru a fi utilizate, trebuie să fie supuse unei evidenţe;
b) colaboratorii abilitaţi trebuie să poarte răspundere personală pentru integritatea cheilor de criptare şi cheile semnăturii digitale, precum şi pentru funcţionarea mijloacelor de protecţie criptografică a informaţiei;
c) trebuie asigurată integritatea cheilor de criptare, a cheilor semnăturilor digitale şi a dischetelor de instalare;
d) trebuie efectuat controlul periodic asupra integrităţii echipamentului care intră în componenţa mijloacelor de protecţie criptografică a informaţiei, precum şi a întregului software utilizat pentru a preveni introducerea deranjamentelor de software sau hardware şi a programelor de viruşi;
- cerinţe privind acţiunea rapidă a mijloacelor de protecţie criptografică:
a) mecanismele de asigurare a securităţii trebuie să prelucreze în mod eficient datele compuse la nivel de pachete multiplex;
b) mijloacele de securitate nu trebuie să cauzeze reţineri substanţiale în procesul de prelucrare şi transmitere a informaţiei;
c) infrastructura esenţială trebuie să conţină mijloace eficiente de reînnoire a cheilor criptografice;
d) algoritmele criptografice trebuie să prelucreze volume mari de informaţii într-o unitate de timp;
e) realizarea algoritmelor criptografice trebuie să permită operarea în sisteme cu capacităţi de transmitere diferite;
- cerinţe privind asigurarea organizaţională a securităţii mijloacelor de protecţie criptografică a informaţiei:
a) trebuie desemnate persoane responsabile de elaborarea şi aplicarea în practică a activităţilor de asigurare a funcţionării şi securităţii mijloacelor de protecţie criptografică a informaţiei;
b) aspectele ce ţin de asigurarea funcţionării şi securităţii mijloacelor de protecţie criptografică a informaţiei trebuie să fie reflectate în documente speciale, aprobate de conducerea organizaţiei;
- cerinţele privind colaboratorii care efectuează exploatarea şi instalarea mijloacelor de protecţie criptografică a informaţiei:
a) pentru operarea cu mijloacele de protecţie criptografică a informaţiei sînt admişi, în baza deciziei conducerii organizaţiei, doar colaboratorii care cunosc regulile de exploatare a acestora, posedă deprinderi practice de muncă şi care au susţinut instructajul privind operarea cu mijloacele de protecţie criptografică a informaţiei;
b) persoanele abilitate pentru a opera cu mijloacele criptografice trebuie să cunoască pericolele eventuale ale informaţiei în procesul de prelucrare, transmitere, păstrare a acesteia, precum şi metodele şi mijloacele de protecţie a informaţiei.
8) Cerinţe privind mijloacele de monitorizare
Mijloacele de monitorizare a securităţii informaţiei trebuie să asigure supravegherea permanentă a evenimentelor de securitate a informaţiei care se produc în procesul de schimb de informaţie, colectare, analiză şi sinteză a rezultatelor supravegherii asupra funcţionării componentelor II.
În scopul asigurării eficiente pe termen lung a securităţii informaţiei a II, este necesar de implementat un proces de monitorizare care să conţină cel puţin următoarele elemente pentru fiecare componentă a II:
- mecanisme fizice şi logice de securitate disponibile;
- mecanisme fizice şi logice de securitate implementate;
- tipuri de testare şi rezultatele acestora, efectuate pentru mecanismele de securitate;
- numărul de încălcări ale securităţii survenite şi gravitatea lor.
Cerinţele privind monitorizarea securităţii informaţiei a componentelor II includ următoarele:
- trebuie elaborate proceduri corespunzătoare pentru monitorizarea utilizării echipamentului, software-ului de prelucrare a informaţiei;
- evenimentele de securitate a informaţiei trebuie să fie monitorizate în regim de timp real 24*7;
- monitorizarea trebuie să realizeze asigurarea informaţională şi computaţională a managementului mijloacelor de protecţie a informaţiei în condiţii concrete;
- trebuie prezentate recomandări în privinţa incidentelor identificate de securitate a informaţiei;
- în procesul monitorizării trebuie verificată capacitatea de lucru a dispozitivelor critice şi a echipamentului;
- trebuie arhivate datele monitorizării şi asigurată integritatea acestor date;
- trebuie efectuată monitorizarea:
a) accesului la resurse;
b) operaţiilor executate asupra resurselor;
c) anumitor înregistrări de evidenţă;
d) funcţionării sistemului şi a diferitor dispozitive de introducere-extragere şi modificării setărilor acestor dispozitive;
e) erorilor şi deranjamentelor în funcţionarea sistemelor, care pot duce la încălcarea securităţii informaţiei a componentelor II;
- frecvenţa examinării rezultatelor monitorizării trebuie să fie determinată în baza următorilor factori:
a) riscurile implicate de securitate a informaţiei;
b) nivelul de criticitate a proceselor aplicaţiilor;
c) semnificaţia, sensibilitatea şi criticitatea informaţiei prelucrate;
d) experienţa anterioară de pătrundere în sistem şi utilizarea incorectă a acestuia, frecvenţa utilizării locurilor vulnerabile;
e) gradul de conexiune a sistemului cu alte reţele.
9) Cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a infrastructurii informaţionale
Realizarea proceselor de asigurare a securităţii informaţiei este posibilă în condiţiile unei determinări exacte a responsabilităţilor şi împuternicirilor. Subdiviziunile şi colaboratorii în parte din cadrul autorităţilor administraţiei publice trebuie să-şi execute obligaţiile privind asigurarea securităţii informaţiei în conformitate cu documentele organizatorice şi de dispoziţie aprobate de către conducere (regulamente, instrucţiuni, obligaţii, liste, formulare).
Rolurile şi obligaţiile specifice, care sînt caracteristice organizaţiei în ansamblu, privind realizarea şi menţinerea măsurilor de asigurare a securităţii informaţiei a componentelor II sînt prezentate în tabelul 2.
Tabelul 2. Rolurile şi obligaţiile privind asigurarea securităţii informaţiei a II
Pentru a asigura securitatea informaţiei a II în procesul de repartizare a rolurilor şi responsabilităţii este necesar de întreprins următoarele acţiuni:
- la stabilirea rolurilor pentru colaboratorii din cadrul autorităţilor administraţiei publice este necesar de ţinut cont de scopuri, resursele disponibile, cerinţele funcţionale şi procedurale, criteriile de evaluare a eficienţei respectării regulilor pentru rolul respectiv;
- este interzis de a cumula de către o singură persoană rolul de elaborare, mentenanţă, executare, gestionare sau control al componentelor II;
- nivelurile de împuterniciri trebuie să fie stabilite într-un mod clar şi exact;
- este necesar de a identifica împuternicirile incompatibile detaliate pentru componentele critice ale II, a căror îmbinare poate duce la conflicte potenţiale;
- este necesar de a delimita împuternicirile privind asigurarea securităţii informaţiei a componentelor II;
- este necesar de a efectua controlul manual sau automatizat asupra delimitării şi exercitării împuternicirilor privind asigurarea securităţii informaţiei a componentelor II;
- în caz de absenţă a persoanelor responsabile de asigurarea securităţii informaţiei a componentelor II, este necesar de a desemna persoane interimare responsabile de asigurarea securităţii informaţiei a II;
- răspunderea, responsabilităţile şi împuternicirile unităţilor structurale şi a unor colaboratori concreţi în materie de asigurare a securităţii informaţiei a II trebuie să fie stipulate în prevederile privind subdiviziunile structurale, în instrucţiuni şi în obligaţiunile de serviciu corespunzătoare ale colaboratorilor.
Cerinţele privind documentarea responsabilităţii privind respectarea cerinţelor securităţii trebuie să includă următoarele:
- funcţiile (rolurile) şi răspunderea în sfera securităţii informaţiei a II trebuie să fie stipulate în contractele de muncă;
- în fişele de post trebuie să fie specificate responsabilităţile generale privind implementarea şi respectarea securităţii informaţiei, precum şi particularităţile specifice privind protecţia componentelor II legate de securitatea informaţiei.
În temeiul Legii privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006 şi în vederea executării Hotărîrii Guvernului “Cu privire la unele acţiuni de implementare a Strategiei Naţionale de edificare a societăţii informaţionale – “Moldova electronică” în anul 2007” nr. 606 din 01.06.2007, precum şi a Hotărîrii Guvernului “Cu privire la aprobarea repartizării mijloacelor Fondului pentru realizarea Programului naţional de elaborare a reglementărilor tehnice” nr. 564 din 21.05.2007,
ORDON:
1. A aproba Reglementările tehnice:a) Asigurarea securităţii informaţiei bazelor de date în procesul de prestare a serviciilor publice electronice. Cerinţe tehnice, conform anexei nr. 1;
b) Asigurarea securităţii informaţiei infrastructurii informaţionale pentru autorităţile administraţiei publice. Cerinţe tehnice, conform anexei nr. 2;
2. Reglementările tehnice menţionate în punctul 1 vor intra în vigoare în termen de trei luni de la data publicării în Monitorul Oficial al Republicii Moldova.
3. Controlul asupra executării prezentului ordin se pune în sarcina Direcţiei reglementare tehnică şi standardizare.
MINISTRUL TEHNOLOGIILOR
INFORMAŢIONALE ŞI COMUNICAŢIILOR Alexandru OLEINIC
Nr. 106. Chişinău, 20 decembrie 2010.
Anexa nr. 1
la Ordinul nr. 106
din 20 decembrie 2010
la Ordinul nr. 106
din 20 decembrie 2010
REGLEMENTARE TEHNICĂ
Asigurarea securităţii informaţiei bazelor de date
în procesul de prestare serviciilor publice electronice.
Cerinţe tehnice
1. Domeniu de aplicareAsigurarea securităţii informaţiei bazelor de date
în procesul de prestare serviciilor publice electronice.
Cerinţe tehnice
Accesul la informaţia oficială şi prestarea serviciilor publice pentru cetăţeni şi mediul de afaceri prin mijloace electronice se realizează în baza datelor conţinute în bazele de date (BD) disponibile în cadrul autorităţilor administraţiei publice. În acest scop este necesar de asigurat securitatea informaţiei a BD pentru realizarea unui proces eficient şi sigur de funcţionare a autorităţilor administraţiei publice şi de schimb de informaţii cu cetăţenii şi mediul de afaceri în procesul de prestare a serviciilor publice.
Obiectivul prezentei reglementări constă în stabilirea modului de asigurare a securităţii informaţiei a BD care asigură şi susţin procesul de funcţionare a autorităţilor administraţiei publice.
Prezenta reglementare stabileşte metodele de abordare şi cerinţele privind asigurarea securităţii informaţiei a BD din cadrul autorităţilor administraţiei publice. De asemenea, prezentul document stabileşte cerinţele privind efectuarea analizei riscurilor legate de BD, precum şi pericolele şi vulnerabilităţile potenţiale principale ale BD în procesul prestării serviciilor publice.
Prezenta reglementare se aplică pentru toate tipurile de BD din cadrul autorităţilor administraţiei publice, care asigură procesul de prestare a serviciilor publice, indiferent de natura informaţiei păstrate, metoda de păstrare a datelor sau de structura de organizare a datelor.
Prezenta reglementare este elaborată în baza următoarelor acte legislative şi normative ale Republicii Moldova:
- Legea cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- Legea privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
- Legea privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006;
- Legea cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- Legea cu privire la registre nr. 71-XVI din 22.03.2007;
- Legea comunicaţiilor electronice nr. 241-XVI din 15.11.2007;
- Legea cu privire la secretul de stat nr. 245-XVI din 27.11.2008.
În prezenta reglementare sînt utilizaţi următorii termeni:
Cheie externă – element esenţial din tabelul subordonat, a cărui valoare coincide cu valoarea cheii primare din tabelul principal.
Cheie primară – element esenţial principal care identifică într-un mod unic rîndul din tabel al bazei de date.
Copierea de rezervă a bazelor de date – mijloace care asigură restabilirea bazelor de date în caz de dereglare a funcţionării sistemului.
Managementul bazelor de date – gestionarea bazei de date care include un şir de activităţi care asigură exactitatea, consistenţa, plenitudinea, protecţia şi accesibilitatea datelor în formatul, locul şi intervalul de timp necesar.
Obiect al bazei de date – element al bazei de date dotat cu anumite caracteristici şi care reacţionează într-un mod special la anumite evenimente din exterior.
Proprietar al obiectelor bazelor de date – subiectul care exercită dreptul de posesiune şi folosinţă asupra obiectelor menţionate şi care este învestit cu împuterniciri depline în privinţa obiectului.
Restabilirea bazei de date – readucerea bazei de date la starea ei de pînă la dereglare.
Sisteme de gestiune a bazelor de date – un set de mijloace software destinate pentru organizarea şi întreţinerea bazei de date, pentru crearea structurii unei baze noi, completarea bazei respective, redactarea conţinutului şi vizualizarea informaţiei.
2. Cerinţele privind obiectivele asigurării securităţii informaţiei a bazelor de date
BD prezintă un component important al infrastructurii informaţionale a autorităţilor administraţiei publice, cu ajutorul cărora se execută funcţiile de prelucrare, păstrare şi manipulare a informaţiei. Întrucît BD conţin informaţii preţioase, este necesar de asigurat securitatea informaţiei a acestora, şi anume confidenţialitatea, integritatea şi accesibilitatea.
Asigurarea securităţii informaţiei a BD trebuie să fie orientată spre realizarea următoarelor obiective:
- protecţia informaţiei preţioase din BD împotriva divulgării, pierderii, denaturării şi distrugerii, reieşind din confidenţialitatea, integritatea, accesibilitatea;
- protecţia structurii BD împotriva violării şi modificării nesancţionate;
- asigurarea monitorizării orientate spre asigurarea posibilităţii de a fixa cu ajutorul sistemului de securitate informaţiei orice activitate, utilizatorii şi procesele legate de operaţiile BD, precum şi utilizarea obiectelor pasive în scopul comiterii unor fraude;
- asigurarea caracterului anonim şi a controlului (posibilitatea de a controla utilizarea corectă a informaţiei şi a eficienţei măsurilor de securitate a BD).
3. Cerinţele privind sarcinile asigurării securităţii informaţiei a bazelor de date
Pentru realizarea scopurilor fixate în privinţa asigurării securităţii informaţiei a BD este necesar de îndeplinit următoarele sarcini:
- identificarea şi prognozarea surselor de pericole, vulnerabilităţilor şi riscurilor corespunzătoare, care survin în rezultatul modificărilor efectuate în mediul informaţional şi de control;
- evaluarea riscurilor securităţii informaţiei a BD;
- elaborarea unei politici unitare şi a planului de asigurare a securităţii BD, precum şi a mecanismelor de realizare a acestora;
- coordonarea reciprocă a măsurilor de asigurare a securităţii informaţiei a BD;
- utilizarea mijloacelor hardware şi software ce corespund cerinţelor securităţii a BD;
- realizarea procesului de management incidentelor legate de violarea securităţii informaţiei a BD;
- asigurarea informării privind violările securităţii BD şi realizarea măsurilor coordonate pentru lichidarea consecinţelor în caz de violare a securităţii;
- implementarea măsurilor şi mijloacelor de asigurare a securităţii care sînt în conformitate cu nivelurile riscurilor şi pericolelor depistate.
Asigurarea securităţii informaţiei a BD trebuie să se bazeze pe principiile care sînt examinate în următoarele regulamente tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.6 Procesul de gestionare a securităţii informaţiei;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.3 Principiile de asigurare a securităţii informaţiei.
4. Cerinţele privind metode de abordare a securităţii informaţiei a bazelor de date
Pentru a atinge scopurile asigurării securităţii informaţiei a BD este necesar de aplicat următoarele metode de abordare:
- metoda procesuală a asigurării securităţii informaţiei;
- metoda sistemică a asigurării securităţii informaţiei;
- metoda structurală a asigurării securităţii informaţiei;
- metodele selectivă şi obligatorie ale asigurării securităţii informaţiei.
Aplicarea metodelor menţionate de abordare pentru asigurărea securităţii informaţiei a BD trebuie să asigure obţinerea următoarelor rezultate:
- confidenţialitatea, plenitudinea şi exactitatea datelor ce se conţin în BD;
- confirmarea executării şi documentării corecte a operaţiilor;
- caracterul adecvat al registrelor de audit al operaţiilor/accesului;
- nivelul necesar de protejare a serviciilor pentru utilizatori ale BD;
- evidenţa şi analiza eficientă a depistării atacurilor asupra BD, precum şi prevenirea lor.
Concepţia metodei de abordare procesuale este examinată în regulamentul tehnic «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice». Cerinţele asigurării securităţii informaţiei a BD în cadrul metodei de abordare procesuale sînt examinate în capitolul 5.
1) Metoda de abordare sistematică a asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD trebuie să fie aplicată metoda sistemică care trebuie să determină cerinţele securităţii informaţiei:
- privind obiectele BD;
- privind tipurile principale de risc pentru bazele de date;
- privind vulnerabilităţile principale ale bazelor de date.
2) Metoda de abordare structurată a asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD trebuie să fie aplicată metoda structurată care trebuie să determină cerinţele către masurile şi mijloacele de asigurare a securităţii informaţiei a BD:
- identificarea, autentificarea şi autorizarea în BD;
- managementul accesului în BD;
- managementul sistemelor de gestiune a bazelor de date (SGBD) din perspectiva ciclului de viaţă al resursei informaţionale;
- gestionarea copierii de rezervă şi restabilirii bazelor de date;
- protecţia BD împotriva viruşilor şi codului maliţios;
- controlul asupra integrităţii BD;
- criptarea datelor în BD;
- auditul şi monitorizarea BD;
- repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a BD;
- instruirea personalului în materie de asigurare a securităţii informaţiei a BD.
3) Metode selectivă şi obligatorie ale asigurării securităţii informaţiei a bazelor de date
Pentru a asigura securitatea informaţiei a BD pentru obiectele BD, unde în calitate de obiecte ale BD apar atît BD în întregime, cît şi orice obiect din cadrul BD, este necesar de aplicat două metode generale de abordare: metoda selectivă şi metoda obligatorie.
În cazul metodei selective de abordare, un anumit utilizator poate deţine diferite drepturi (privilegii sau împuterniciri) în procesul de operare cu obiectele BD.
În cazul metodei obligatorii de abordare, este necesar de atribuit fiecărui obiect al BD un anumit nivel de clasificare, iar fiecare utilizator urmează să deţină un anumit nivel de acces.
Pentru a asigura securitatea deplină şi sigură a acestora este necesar de dat dovadă de flexibilitate în procesul de selectare şi mentenanţă a măsurilor şi mijloacelor de securitate. Aceste metode de abordare a asigurării securităţii informaţiei permit:
- identificarea soluţilor tehnice şi de software lesne de gestionat şi de administrat pentru protecţia BD, soluţii ce corespund cerinţelor unei autorităţi concrete a administraţiei publice, evitîndu-se astfel excesul de ataşare la o singură platfomă de software sau la un singur furnizor;
- aplicarea unor măsuri de securitate a BD ce sînt caracterizate printr-un grad mai sporit de eficienţă şi siguranţă şi prin costuri minimizate, precum şi controlul şi managementul acestora.
5. Cerinţe către asigurarea securităţii informaţiei a bazelor de date în cadrul abordării procesuale
1) Cerinţe securităţii informaţiei privind managementul riscurilor
Pentru a asigura securitatea informaţiei a BD, procesul de management al riscurilor trebuie să includă un set de etape consecutive:
- determinarea obiectelor de protecţie a BD;
- determinarea şi analiza pericolelor;
- evaluarea vulnerabilităţilor;
- evaluarea riscurilor;
- determinarea cerinţelor privind protecţia BD;
- determinarea măsurilor şi mijloacelor de asigurare a securităţii BD;
- implementarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei BD;
- monitorizarea sistemului de asigurare a securităţii BD şi perfecţionare acestuia.
2) Cerinţe către etapa determinării obiectelor de protecţie a bazelor de date
Pentru a asigura securitatea informaţiei BD, această etapă trebuie să fie îndreptată în identificarea obiectelor conţinute în BD, care necesită protecţie împotriva influenţelor nedorite sau în neadmiterea scurgerii informaţiilor ce se conţin în obiectele identificate.
În cadrul acestei etape este necesar de întreprins următoarele activităţi:
- localizarea, alcătuirea listelor şi determinarea caracteristicilor datelor şi obiectelor BD;
- stabilirea limitelor şi a sferelor ce urmează a fi supuse analizei riscurilor pentru BD;
- determinarea nivelului de criticitate a datelor şi obiectelor BD în baza criteriilor confidenţialităţii, integrităţii şi accesibilităţii.
În rezultatul identificării tuturor obiectelor BD este necesar de efectuat categorizarea acestora în baza următoarelor criterii:
- confidenţialitatea – categoriile datelor trebuie să corespundă nivelului de protecţie a informaţiei împotriva dezvăluirii nesancţionate conform cerinţelor următoarelor principii de clasificare a informaţiei:
a) grade de secretizare conform Legii Republicii Moldova cu privire la secretul de stat nr. 245-XVI din 27.11.2008;
b) categoriile datelor cu caracter personal conform Legii Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
c) obiectele secretului comercial conform Legii Republicii Moldova cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
d) acces la informaţia oficială conform Legii Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
e) acces la informaţia care este formată, procesată, păstrată în sistemele speciale conform Hotărîrii Guvernului Republicii Moldova cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova nr. 735 din 11.06.2002;
- integritatea:
a) „cu cerinţe înalte” – la această categorie urmează să fie atribuite obiectele BD, a căror modificare nesancţionată poate duce la cauzarea unui prejudiciu direct considerabil autorităţilor administraţiei publice şi a căror integritate trebuie să fie asigurată prin metode garantate în conformitate cu cerinţele obligatorii stabilite de legislaţia în vigoare;
b) „cu cerinţe reduse” – la această categorie urmează să fie atribuite obiectele BD, a căror modificare sau eliminare nesancţionată poate duce la cauzarea unui prejudiciu direct nesemnificativ sau indirect autorităţilor administraţiei publice sau colaboratorilor;
c) „fără cerinţe” – la această categorie urmează să fie atribuite obiectele BD pentru a căror integritate nu sînt stabilite cerinţe;
- accesibilitatea:
a) „accesibilitate nelimitată” – accesul la obiectele BD urmează să fie asigurat în orice timp; obiectul urmează să fie pus la dispoziţie permanent, reţinerea la obţinerea rezultatului nu trebuie să depăşească cîteva secunde sau minute;
b) „accesibilitate înaltă” – accesul la obiectele BD urmează să fie asigurat fără reţineri substanţiale în timp (intervalul de timp în decursul căruia informaţia poate să nu fie accesibilă nu trebuie să depăşească 2-4 ore);
c) „accesibilitate medie” – accesul la obiectele BD poate să fie asigurat cu reţineri substanţiale în timp (o dată la cîteva zile), reţinerea la obţinerea rezultatului nu trebuie să depăşească cîteva zile şi aceasta nu implică încălcarea regimului normal de activitate a autorităţilor administraţiei publice;
d) „accesibilitate redusă” – reţinerile în timp la accesarea obiectelor BD sînt practic nelimitate; reţinerea admisibilă la obţinerea rezultatului este de cîteva săptămîni şi aceasta nu implică încălcarea regimului normal de activitate a autorităţilor administraţiei publice.
Pentru fiecare tip de obiecte în dependenţă de categoriile accesului la informaţie trebuie să fie stabilite diferite drepturi de acces.
La determinarea obiectelor de protecţie ale BD este necesar de stabilit următoarele:
- obiectele care necesită protecţie;
- subiecţii care au nevoie de aceste obiecte şi termenul în decursul căruia necesar de acordare a obiectelor;
- gradul de complexitate a structurii BD;
- principiile aplicate pentru evaluarea valorii datelor păstrate în BD;
- răspunderea prevăzută de legislaţie şi răspunderea socială pentru asigurarea securităţii BD;
- măsuri şi mijloace de asigurare a securităţii necesare pentru protecţia datelor din BD în conformitate cu o anumită categorie de confidenţialitate, integritate şi accesibilitate.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- inexistenţa răspunderii formalizate a administratorilor bazelor de date;
- existenţa unor aspecte vulnerabile din punct de vedere organizaţional în organizarea funcţionării componentelor infrastructurii informaţionale legate de BD;
- divulgarea sau pierderea întîmplătoare a datelor din BD;
- informaţia, care este greşită sau care induce în eroare;
- absenţa unor standarde stabilite pentru asigurarea securităţii BD.
3)Cerinţe către etapa identificării şi analizei pericolelor
Pentru a asigura securitatea informaţiei BD este necesar de efectuat analiza riscurilor adică de identificat pericolele potenţiale ce vizează BD examinată. Stabilirea pericolelor potenţiale ce vizează BD şi a surselor acestor pericole constituie sarcina principală a activităţii de identificare şi analiză a pericolelor.
În cadrul acestei etape este necesar de întreprins un şir de activităţi, după cum urmează:
- de stabilit lista colaboratorilor care dispun de acces la resursele vulnerabile ale BD;
- de desemnat persoanele care poartă răspundere pentru modificarea informaţiei din BD;
- de verificat existenţa proceselor formalizate de efectuare a controlului colaboratorilor care dispun de acces la BD;
- de verificat nivelul de documentare şi implementare a procedurilor;
- de verificat existenţa programului de pregătire şi instruire a personalului care dispune de acces la resursele BD.
De asemenea, este necesar de efectuat analiza mijloacelor de management al securităţii BD care au fost implementate sau planificate pentru minimizarea sau eliminarea probabilităţii de realizare a pericolelor. La această etapă este necesar de efectuat următoarele activităţi:
- de analizat mijloacele profilactice de management al securităţii BD, mijloacele detective de management al BD:
a) mijloacele profilactice de management al securităţii BD trebuie să includă mijloacele de management al accesului, de criptare şi de stabilire a autenticităţii;
b) mijloacele detective de management al BD trebuie să includă mijloacele de ţinere a registrelor de evenimente, metodele de depistare a interferenţelor şi sume de control;
- de analizat metodele tehnice şi netehnice de controale:
a) metodele tehnice trebuie să includă mijloacele de management al accesului, identificarea şi mecanismele de autentificare, metodele de criptare, software-ul pentru depistarea interferenţelor;
b) metodele netehnice trebuie să includă politica şi planurile de securitate, procedurile de exploatare, personalul.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa controlului asupra accesului la informaţia ce se conţine în BD;
- absenţa următoarelor profiluri de acces la BD:
a) profilul accesului gestionat –formalizează metodele de organizare a securităţii BD, precum sînt metoda discretă de acces, metode de autentificare prin parole;
b) profilul nivelurilor de protecţie – extinde profilul accesului gestionat, prin adăugarea accesului în bază de categoriile de acces la informaţie;
- absenţa unei atitudini conştiente faţă de nivelurile de protecţie a BD la nivelul întregii organizaţii;
- absenţa sau elaborarea insuficientă a politicii şi procedurilor de securitate a BD;
- implementarea ineficientă a programului de instruire în sfera protecţiei BD.
4) Cerinţe către etapa evaluării vulnerabilităţilor
În cadrul acestui proces se efectuează evaluarea vulnerabilităţilor în condiţii de multiple pericole şi canale de scurgere a datelor din BD, în vederea identificării situaţiilor de pericol, a punctelor vulnerabile specifice ale BD şi a resurselor ce interacţionează cu BD, prin intermediul cărora se pot realiza pericolele.
În cadrul etapei date este necesar de efectuat următoarele activităţi:
- de alcătuit lista vulnerabilităţilor BD şi a resurselor care interacţionează cu BD, prin intermediul cărora se pot realiza pericolele;
- de identificat vulnerabilităţile pentru fiecare pericol potenţial;
- de utilizat rezultatele analizei conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii BD cu cerinţele stabilite ale securităţii;
- de utilizat surse de imprimare şi electronice ce conţin vulnerabilităţi cunoscute ale mijloacelor de asigurare a securităţii BD;
- de utilizat rezultatele testării mijloacelor de asigurarea a securităţii BD.
Pentru a depista punctele vulnerabile ale BD este necesar de a utiliza mijloacele pentru BD, care le scanează rapid şi uşor în limitele reţelei şi faţă de care sînt înaintate următoarele cerinţe în baza criteriilor de mai jos:
- analiza înregistrărilor de evidenţă a utilizatorilor şi a parolelor acestora:
a) trebuie efectuată analiza volumului de parole automate;
b) trebuie identificaţi foştii utilizatori care mai dispun de login;
c) trebuie verificate înregistrările de evidenţă ale utilizatorilor în materie de integritate;
- analiza configuraţiilor BD:
a) trebuie verificate autorizările şi interdicţiile de a utiliza setul de funcţii, a căror utilizare implică un prejudiciu potenţial pentru informaţia din BD;
b) analiza configuraţiilor trebuie să permită acordarea recomandărilor privind modificarea opţiunilor configuraţiei;
- analiza şi urmărirea statutului setărilor:
a) trebuie urmărite poziţiile corectărilor speciale hotfix şi a pachetelor de actualizări;
b) clienţii trebuie să fie notificaţi la timp despre conţinutul ce urmează să fie instalat în mijloacele software patch;
- analiza şi controlul împuternicirilor – trebuie stabilite înregistrările de evidenţă ale utilizatorilor care dispun de acces la proceduri, în caz de existenţă a unor eventuale pericole din partea acestora pentru BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa documentaţiei privind rezultatele analizei efectuate asupra conformităţii măsurilor şi mijloacelor aplicate de asigurare a securităţii BD cu cerinţele stabilite ale securităţii;
- absenţa surselor ce conţin vulnerabilităţi cunoscute ale mijloacelor de asigurare a securităţii BD;
- absenţa sau caracterul incomplet al rezultatelor testării mijloacelor de asigurare a securităţii BD;
- implementarea ineficientă a programului de instruire în sfera protecţiei BD.
5) Cerinţe către etapa evaluării riscurilor
Procesul de evaluare a riscurilor are menirea de a identifica sursele de riscuri şi de a determina nivelul de importanţă cuantificat al acestora.
La etapa de evaluare a riscurilor trebuie să fie executat lista următoarelor acţiuni:
- trebuie să fie evaluată probabilitatea realizării reuşite a pericolelor şi consecinţele posibile pentru o autoritate concretă a administraţiei publice;
- trebuie să fie atribuită valoarea numerică riscurilor şi să fie efectuată clasificarea lor;
- trebuie să fie stabilite corect priorităţile la aplicarea măsurilor şi mijloacelor de asigurare a securităţii.
Evaluarea riscurilor se efectuează prin identificarea şi compararea lor cu scara prestabilită. Metoda de identificare a riscurilor trebuie să fie definită de fiecare autoritate a administraţiei publice conform cerinţelor legislative şi interne. Este posibilă efectuarea evaluării atît calitative cît şi cantitative a riscurilor.
După efectuarea evaluării riscurilor este necesar de adoptat o decizie în privinţa prelucrării riscurilor respective. Este necesar de aplicat următoarele patru măsuri de prelucrare a riscului:
- diminuarea riscului – riscul se consideră inadmisibil şi pentru minimizarea acestuia este necesar de selectat şi de realizat măsurile şi mijloacele corespunzătoare de asigurare a securităţii;
- transmiterea riscului – riscul se consideră inadmisibil şi în anumite condiţii se transmite către o organizaţie terţă (de exemplu, în cazul serviciilor de externalizare);
- acceptarea riscului – riscul se consideră admisibil în mod conştient atunci cînd costul măsurilor şi mijloacelor de asigurare a securităţii depăşeşte în mod considerabil pierderile financiare în caz de realizare a pericolului;
- neacceptarea riscului – respingerea de către o autoritate concretă a administraţiei publice a proceselor ce au cauzat riscul.
După prelucrarea riscurilor rămîne aşa-numitul risc rezidual, în privinţa căruia conducere trebuie să adopte şi să aprobe o decizie privind acceptabilitatea acestuia.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa clasificării obiectelor BD;
- absenţa unor priorităţi ce urmau a fi stabilite în privinţa obiectelor de protecţie în baza analizei şi evaluării riscurilor;
- repartizarea ineficientă a mijloacelor de asigurare a securităţii pentru obiectele datelor din BD ce necesită protecţie;
- absenţa documentaţiei privind vulnerabilităţile BD;
- absenţa metodelor de evaluare a riscurilor şi de evaluare documentată a riscurilor.
6) Cerinţe către etapa stabilirii cerinţelor privind protecţia bazelor de date
În baza informaţiei obţinute în procesul de evaluare a riscurilor este necesar de stabilit cerinţele privind asigurarea securităţii BD, după care urmează să fie obţinută următoarea informaţie:
- măsurile tehnologice aplicate de securitate ale BD;
- raportul dintre costul şi eficienţa măsurilor tehnologice accesibile de asigurare a securităţii BD;
- vulnerabilitatea elementelor mijloacelor de asigurare a securităţii BD.
Pentru a asigura securitatea informaţiei obiectelor BD este necesar de stabilit cerinţele de protecţie pentru diferitele forme şi tipuri de măsuri şi mijloace de asigurare a securităţii informaţiei BD.
Tipurile de măsuri şi mijloace de asigurare a securităţii trebuie să includă următoarele:
- măsuri şi mijloace privind neadmiterea riscului;
- măsuri şi mijloace privind minimizarea consecinţelor negative ale riscului.
Tipurile de măsuri şi mijloace de asigurare a securităţii trebuie să includă următoarele:
- mijloace tehnice – mijloace mecanice, electromecanice, electronice şi alte mijloace ce îndeplinesc sarcini de asigurare a securităţii BD;
- mijloace software – programe pentru identificarea utilizatorilor, efectuarea controlului asupra accesului, criptarea datelor etc.;
- mijloace hardware şi software combinate – îndeplinesc aceleaşi funcţii ca şi mijloacele hardware şi cele software în parte;
- măsuri organizaţionale – măsuri juridico-organizaţionale; de exemplu, cerinţele prevăzute de legislaţia naţională şi regulile de muncă stabilite de conducerea autorităţii concrete a administraţiei publice.
Este necesar de aplicat următoarele tipuri de controale:
- controalele preventive trebuie să fie aplicate pentru a preveni erorile şi pentru a se evita cheltuieli suplimentare legate de corectare;
- controalele de depistare trebuie să fie aplicate pentru a evalua eficienţa controalelor preventive şi pentru a depista erorile a căror evitare a fost imposibilă;
- controalele corective trebuie să fie utilizate în situaţia cînd consecinţele negative s-au produs deja şi au fost depistate.
După stabilirea cerinţelor de protecţie este necesar de determinat riscul rezidual şi de comunicat acest fapt conducerii autorităţii respective a administraţiei publice pentru confirmarea admisibilităţii riscului rezidual.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa unui proces formalizat de management al modificărilor;
- modificări frecvente în tehnologiile de protecţie a BD;
- incompatibilitatea platformelor diferitor mijloace de asigurare a securităţii BD.
7) Cerinţe către etapa determinării măsurilor şi mijloacelor de asigurare a securităţii bazelor de date
La selectarea măsurilor şi mijloacelor de asigurare a securităţii BD şi a caracteristicilor acestora este necesar de determinat riscurile cele mai critice ale BD şi de selectat măsurile şi mijloacele corespunzătoare de asigurare a securităţii în vederea diminuării acestor riscuri.
În procesul de selectare a măsurilor şi mijloacelor de asigurare a securităţii BD este necesar de întreprins următoarele activităţi:
- de identificat pericolele prioritare, pentru care este necesar de stabilit în primul rînd măsuri de asigurare a securităţii;
- de stabilit măsuri şi mijloace cu ajutorul cărora trebuie să fie realizată protecţia BD;
- de stabilit costul realizării măsurilor şi mijloacelor selectate pentru asigurarea securităţii BD;
- de stabilit nivelul necesar de calificare a personalului pentru executarea obligaţiilor privind protecţia BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- desfăşurarea ineficientă a activităţii organizaţionale în vederea sporirii eficienţei capacităţii de lucru a sistemelor realizate de protecţie şi a funcţionării acestora;
- absenţa schemelor organizaţionale şi a regulilor de executare a lucrărilor privind asigurarea securităţii BD.
8) Cerinţe către etapa implementării măsurilor şi mijloacelor de asigurare a securităţii bazelor de date
În cadrul asigurării securităţii informaţiei BD acestui proces este necesar de asigurat realizarea şi organizarea utilizării măsurilor şi mijloacelor selectate de asigurare a securităţii BD.
La implementarea măsurilor şi mijloacelor selectate de asigurare a securităţii BD este necesar de stabilit următoarele:
- nivelul de prioritate a obiectelor BD în funcţie de nivelul de protecţie;
- gradul de influenţă exercitată de realizarea programului de asigurare a securităţii BD asupra planurilor utilizatorilor pentru dezvoltarea sistemului informaţional;
- necesitatea unor resurse suplimentare pentru asigurarea securităţii BD.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- incompatibilitatea platformelor mijloacelor aplicate de asigurare a securităţii;
- absenţa sau descrierea incompletă a planurilor de implementare a măsurilor şi mijloacelor selectate de asigurare a securităţii BD.
9) Cerinţe către etapa monitorizării sistemului de asigurare a securităţii bazelor de date şi perfecţionării acestuia
În procesul de monitorizare a sistemului de asigurare a securităţii BD şi de perfecţionare a acestuia este necesar de efectuat controlul asupra distribuirii informaţiei în bazele de date în vederea realizării următoarelor obiective:
- asigurarea funcţionării mijloacelor de asigurare a securităţii BD;
- fixarea funcţiilor îndeplinite şi a stărilor mijloacelor de securitate a BD;
- fixarea evenimentelor legate de violarea securităţii BD.
Pentru a asigura securitatea informaţiei BD în cadrul acestei etape este necesar de stabilit următoarele:
- lista specialiştilor pentru activitatea eficientă a grupului de control;
- existenţa standardelor de securitate pentru fiecare BD, care să conţină lista măsurilor şi mijloacelor necesare pentru asigurarea securităţii datelor şi obiectelor unei BD concrete;
- eficienţa combinării existente a mijloacelor tehnice şi a celor de software, precum şi a măsurilor organizaţionale de asigurare a securităţii BD;
- nivelul de corespundere a condiţiilor existente privind asigurarea protecţiei informaţiei cu cerinţele prevăzute de legislaţie şi cerinţele sociale ale autorităţilor administraţiei publice;
- posibilele perfecţionări în vederea asigurării unei eficienţe şi capacităţi de lucru maxime ale sistemului de protecţie a BD;
- periodicitatea efectuării controlului.
Riscurile care trebuie să fie identificate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- absenţa unei evaluări permanente a eficienţei programului de protecţie a BD;
- absenţa unei tendinţe motivate din partea întregului personal spre realizarea obiectivelor de asigurare a securităţii BD;
- absenţa rapoartelor şi recomandărilor din partea grupului de audit.
10) Obiective, cerinţe, condiţii de asigurare a securităţii BD pentru protecţia datelor şi obiectelor BD
Asigurarea securităţii BD trebuie să fie orientată spre realizarea următoarelor obiective:
- asigurarea nivelului necesar de protecţie a tuturor datelor şi obiectelor BD ale unei autorităţi concrete a administraţiei publice împotriva tuturor tipurilor de pericole interne sau externe care au survenit în rezultatul unor acţiuni sau intenţii premeditate sau ocazionale;
- garantarea faptului că măsurile şi mijloacele de asigurare a securităţii bazelor de date sînt adecvate şi corespund cerinţelor de management al riscurilor şi minimizează posibilităţile de cauzare a prejudiciului autorităţilor administraţiei publice.
Asigurarea securităţii BD trebuie să garanteze realizarea următoarelor sarcini:
- trebuie să fie identificate şi înlăturate la timp pericolele de securitate a informaţiei ce vizează datele critice şi obiectele BD;
- trebuie să fie determinate obiectele BD care pot fi vizate de pericole;
- trebuie să fie determinate sursele potenţiale de pericole;
- trebuie să fie evaluate riscurile aferente BD;
- trebuie să fie create mecanismul şi condiţiile de reacţionare operativă în caz de pericole de securitate informaţiei a BD şi de depistare a tendinţelor negative în funcţionarea BD;
- trebuie să fie efectuată reprimarea eficientă a atentatelor asupra datelor critice şi obiectelor BD;
- trebuie să se efectueaze managementul configuraţiilor şi modificărilor din BD;
- trebuie să fie elaborate şi implementate planurile de funcţionare continuă a BD;
- trebuie să se ridice nivelul de calificare a colaboratorilor autorităţilor administraţiei publice în domeniul protecţiei BD.
Pentru a determina toate acţiunile pentru atingerea scopurilor asigurării securităţii informaţiei a BD trebuie să fie elaborat Planul de asigurare a securităţii informaţiei.
Planul de asigurare a securităţii informaţiei trebuie să conţină următoarele:
- măsuri şi mijloace concrete de asigurare a securităţii BD;
- etapele realizării şi implementării mijloacelor hardware şi software şi măsurile organizaţionale de asigurare a securităţii BD;
- resursele care vor fi utilizate pentru asigurarea securităţii BD, inclusiv personalul necesar;
- termenele de realizare a măsurilor şi mijloacelor prevăzute în politica de securitate;
- procedurile de perfecţionare a procesului de asigurare a securităţii informaţiei a BD;
- procedurile de efectuare a instructajelor şi seminarelor de pregătire şi ridicare a nivelului de informare a personalului în probleme ce ţin de asigurarea securităţii BD.
11) Cerinţe securităţii informaţiei privind managementul incidentelor de securitate a informaţiei
Managementul incidentelor de securitate a BD trebuie să asigură comunicarea evenimentelor şi deficienţelor din sistemul de protecţie a BD într-un mod care oferă posibilitatea de a întreprinde în timp util o acţiune corectă, ceea ce permite diminuarea sau excluderea influenţei negative a încălcărilor în procesul funcţionării continue a BD.
Incidentele de securitate a informaţiei includ următoarele evenimente:
- încălcarea cerinţelor confidenţialităţii:
a) incidentele care au condiţionat accesul nesancţionat la datele şi obiectele BD;
b) pierderea purtătorilor de date ale BD;
c) pierderea sau sustragerea mijloacelor de echipament;
d) tentative din interior sau din exterior de a obţine accesul la BD;
- eventualele încălcări ale cerinţelor integrităţii:
a) pierderea datelor sau prelucrarea incompletă;
b) viruşii şi codul maliţios;
- eventualele încălcări ale cerinţelor accesibilităţii;
a) suspendarea deservirii BD pentru o perioadă îndelungată;
b) viruşii şi codul maliţios;
c) sustragerea mijloacelor de echipament, a componentelor sau purtătorilor de date ale BD;
- posibilităţile de violare a imposibilităţii de refuz;
- staţionările în procesul de deservire a BD;
- erorile comise de personal;
- nerespectarea politicii şi procedurilor de asigurare a securităţii informaţiei a BD;
- încălcările drepturilor de acces la datele şi obiectele BD.
Managementul incidentelor de securitate ale BD trebuie să fie realizat conform următoarelor etape:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
Etapele date sînt examinate mai detaliat în următoarele regulamente tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.1 Gestionarea incidentelor;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.5.3 Cerinţe privind reacţionarea la incidentele de încălcare a securităţii.
12) Cerinţe securităţii informaţiei privind managementul modificărilor
Pentru a asigura securitatea informaţiei a BD managementul modificărilor trebuie să asigură protecţia BD împotriva modificării nesancţionate şi denaturării datelor şi obiectelor BD.
Managementul modificărilor în BD trebuie să corespundă următoarelor cerinţe:
- să se asigure susţinerea domeniului de securitate care protejează datele împotriva interferenţei şi denaturării din partea subiecţilor neautorizaţi ai BD;
- să fie efectuată documentarea cu exactitate a tuturor datelor, procesele şi a modificărilor acestora în BD, în special a modificărilor legate de organizarea şi corectarea BD;
- modificările legate de organizarea şi corectarea BD trebuie să fie introduse doar de către persoanele abilitate;
- toate modificările legate de BD trebuie să fie urmărite permanent şi să fie supuse periodic auditării;
- fiecare BD trebuie să conţină un registru al modificărilor, ce are forma unei tabele şi în care sînt fixate acţiunile executate la nivelul întregii BD sau la nivelul anumitor tabele din cadrul acesteia;
- registrul modificărilor BD trebuie să permită determinarea sursei de date neautentice sau denaturate.
13) Cerinţe securităţii informaţiei privind asigurarea continuităţii bazelor de date
Pentru a contracara întreruperile în funcţionarea diferitor obiecte ale BD şi a BD înseşi, consecinţele negative cauzate de producerea situaţiilor excepţionale şi protecţia datelor critice şi a obiectelor BD împotriva influenţei deranjamentelor şi a evenimentelor negative trebuie să asigure continuitatea BD.
La asigurarea continuităţii BD este necesar de îndeplinit următoarele cerinţe:
- este necesar de determinat datele critice şi obiectele BD care sînt critice pentru activitatea autorităţii concrete a administraţiei publice;
- este necesar de evaluat riscurile şi factorii influenţei asupra funcţionării BD;
- este necesar de elaborat, în baza informaţiei despre riscuri, planuri strategice şi tactice, precum şi proceduri şi metode de control şi de asigurare a continuităţii BD, incluzînd metode de copiere de rezervă, de lucrări de restabilire în caz de situaţii excepţionale şi metode de replicare a datelor;
- implementarea procesului de asigurare a continuităţii BD se efectuează în trei etape de bază:
a) evaluarea riscurilor de încălcare a continuităţii BD;
b) elaborarea planului de restabilire după avarii pentru date critice şi obiecte ale BD;
c) elaborarea procedurilor detaliate, ce stabilesc consecutivitatea acţiunilor de utilizare a mijloacelor selectate de restabilire care asigură escaladarea situaţiilor extraordinare, precum şi termenul maxim admisibil de inaccesibilitate a datelor critice şi a obiectelor BD;
d) instruirea personalului în materie de acţiuni de asigurare a securităţii BD;
- este necesar de monitorizat şi de optimizat procesul de asigurare a continuităţii BD.
Pentru a asigura continuitatea funcţionării tuturor obiectelor ale BD şi deminuarea consecinţelor negative după situaţii fors-majore trebuie să fie elaborat Planul de asigurare a continuităţii BD.
Planul de asigurare a continuităţii BD trebuie să includă:
- asigurarea continuităţii suportului şi restabilirea capacităţii de funcţionare a BD;
- asigurarea continuităţii efectuării operaţiilor cu obiectele BD;
- întreprinderea măsurilor în caz de producere a incidentelor de calculator legate de BD;
- restabilirea BD în caz de producere a calamităţilor naturale;
- întreprinderea măsurilor în caz de producere a unor situaţii excepţionale.
14) Cerinţe faţă de securitatea informaţiei privind organizarea mediului intern de controale
Mediul intern de controale reprezintă cultura profesională şi morală a organizaţiei care stabileşte modul în care colaboratorii percep riscul şi reacţionează la el.
Pentru a asigura securitatea informaţiei BD mediului intern de controale trebuie să asigure garanţiile eficienţei funcţionării controalelor existente şi respectarea cerinţelor corespunzătoare stabilite de legislaţie.
Mediul intern de controale orientate spre asigurarea securităţii informaţiei BD trebuie să fie organizat în următoarele direcţii:
- trebuie să fie utilizate înregistrările de evidenţă şi parolele care asigură un acces adecvat la obiectele BD, ţinînd cont de categoriile de protecţie a informaţiei;
- trebuie să se efectueze managementul eficient al accesului, incluzînd accesul la distanţă, la datele critice şi la obiectele BD;
- trebuie să fie organizat accesul fizic cu stricteţe în conformitate cu politica de securitate, la complexul hardware şi software care asigură funcţionarea BD;
- trebuie să fie organizat procesul de continuitate în funcţionarea BD şi de restabilire eficientă în caz de pierdere parţială sau totală a obiectelor BD;
- trebuie să se asigure rezervarea şi păstrarea în siguranţă a BD;
- trebuie să fie instituite unele raportări de control;
- trebuie să se efectueze managementul personalului.
15) Cerinţe faţă de securitatea informaţiei privind evaluarea conformităţii
Evaluarea conformităţii securităţii informaţiei a BD trebuie să ofere siguranţa cu obiectele BD în conformitate cu cerinţele stabilite ale securităţii informaţiei.
Evaluarea conformităţii trebuie efectuată periodic, cel puţin o dată în an, precum şi în caz de modificări substanţiale în structura BD şi în caz de pericole de securitate. În rezultatul efectuării cu succes a evaluării conformităţii de către autorităţile abilitate să execite controlul de stat asupra respectării cerinţelor de securitate a tehnologiilor informaţiei, printre care este Agenţia Naţională pentru Reglementare în Comunicaţii Electronice şi Tehnologia Informaţiei (ANRCETI), trebuie să fie eliberat un certificat de conformitate.
Pentru a asigura securitatea informaţiei a BD în procesul de evaluare a conformităţii este necesar de evaluat:
- corespunderea măsurilor şi mijloacelor de asigurare a securităţii informaţiei cu cerinţele securităţii informaţiei stabilite de legislaţia în vigoare;
- corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii informaţiei;
- corectitudinea acţiunilor de lichidare a consecinţelor incidentelor de încălcare a securităţii şi de neutralizare a vulnerabilităţilor.
Pentru a obţine date despre starea securităţii informaţiei a obiectelor BD este necesar de îndeplinit o serie de acţiuni după cum urmează:
- trebuie să fie efectuată analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii informaţiei pentru a contracara incidentele produse de încălcare a securităţii;
- trebuie să fie efectuate verificarea şi testarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei în materie de conformitate cu cerinţele securităţii;
- trebuie să fie efectuată testarea în materie de pătrundere în vederea evaluării posibilităţii de utilizare a vulnerabilităţilor în scopul încălcării securităţii;
- trebuie să fie utilizate mijloacele hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii informaţiei şi identificarea vulnerabilităţilor.
În cazul depistării încălcării asigurării securităţii informaţiei BD, ANRCETI aplică sancţiuni administrative în modul stabilit de lege şi emite o decizie privind încetarea încălcării şi/sau luarea unor măsuri de remediere a consecinţelor ei.
Către organismele desemnate de evaluare a controlului de stat privind cerinţele securităţii informaţiei a BD, urmează să fie înaintate următoarele cerinţe:
- calificarea trebuie să fie confirmată prin certificatele specialiştilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA);
- trebuie prezentată dovada experienţei de muncă de cel puţin doi ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- specialiştii trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al protecţiei criptografice a cheilor publice.
6. Cerinţe către asigurarea securităţii informaţiei a bazelor de date în cadrul abordării sistematice
1) Cerinţe faţă de securitătea informaţiei privind obiectele bazelor de date
BD reprezintă totalitatea datelor combinate, organizate conform anumitor reguli, care prevăd principii generale de descriere, stocare şi procesare a datelor cu ajutorul diferitor obiecte.
Obiectele sînt elemente ale BD dotate cu anumite caracteristici, care execută anumite operaţiuni şi funcţii.
Obiectele principale ale BD trebuie să includă următoarele:
- tabele (tables) – păstrează nemijlocit datele;
- o vedere (views) – reprezintă obiect al BD care poate fi considerat ca fiind o tabelă virtuală, adică o tabelă pentru care se păstrează în BD doar schema, nu şi datele;
- proceduri păstrate (stored procedures) – module de program păstrate în BD pentru îndeplinirea unor operaţiuni cu datele din BD;
- un trigger – reprezintă o “subrutină” stocată în BD care conţine cod executabil, al cărei execuţii se va declanşa automat la întîmplarea unui anume eveniment;
- funcţii şi operatori (user defined function), create de utilizatori;
- indecşii (indexes) – structuri auxiliare de date create în scopul regăsirii mai rapide a datelor;
- tipuri de date definite de utilizator (user defined data types);
- chei (keys), ce reprezintă unul din tipurile de limitare a integrităţii datelor;
- constrîngerile de integritate (constraints) – obiecte pentru asigurarea integrităţii logice a datelor;
- utilizatori (users), care dispun de acces la BD;
- atribuţii (roles) – care permit clasificarea utilizatorilor în grupuri;
- regulile BD (rules) – controlează integritatea logică a datelor;
- setări automate (defaults) sau standard ale BD.
2) Cerinţe securităţii informaţiei privind tipurile principale de risc pentru bazele de date
Pentru a asigura securitatea informaţiei BD trebuie să fie identificate şi evaluate în mod obligatoriu riscurile legate cu informaţia şi operaţii în BD:
- riscuri operaţionale;
- riscuri ale tehnologiilor informaţiei;
- riscuri ale mediului de control neadecvat realizat;
- riscuri legate de criteriile integrităţii, accesibilităţii, confidenţialităţii şi corectitudinii informaţiei conţinute în BD;
- riscuri de forţă majoră.
3) Cerinţe privind riscurile operaţionale
Riscurile operaţionale sînt riscuri ale pierderilor directe sau indirecte (utilizarea ineficientă sau fără rezultate a resurselor), condiţionate de erorile sau imperfecţiunea proceselor de administrare din cadrul unei autorităţi concrete a administraţiei publice, precum şi de erorile sau de calificarea insuficientă a personalului organizaţiei.
Riscurile operaţionale care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- riscurile de nivel organizaţional:
a) absenţa sau lacunele documentelor de reglementare a obiectivelor şi sarcinilor nivelurilor strategic şi tactic pentru autoritatea administraţiei publice;
b) absenţa sau lacunele documentelor de reglementare asigurării securităţii în cadrul BD;
c) controlul insuficient asupra asigurării nivelului de securitate în cadrul BD;
- riscurile legate de erorile personalului, care atrag următoarele consecinţe:
a) violarea confidenţialităţii, violarea integrităţii, corectitudinii datelor din BD;
b) divulgarea datelor conţinute în BD;
c) distrugerea echipamentului sau a datelor din BD;
d) neglijenţa în manipularea datelor din BD;
e) modificarea/denaturarea datelor păstrate în BD;
f) pierderea/sustragerea datelor din BD.
4) Cerinţe privind riscurile tehnologiilor informaţiei
Riscurile tehnologiilor informaţiei sînt riscuri ale pierderilor legate de aplicarea incorectă sau de imperfecţiunea proceselor de management ale tehnologiilor informaţiei sau a componentelor infrastructurii şi activelor informaţionale utilizate în cadrul autorităţilor administraţiei publice. Riscurile tehnologiilor informaţiei sînt condiţionate de deranjamentele în funcţionarea sistemelor sau de defectarea acestora şi de capacitatea insuficientă a sistemelor, canalelor de comunicaţii.
Riscurile tehnologiilor informaţiei care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor trebuie să includ următoarele:
- riscuri legate de realizarea proceselor de management ale tehnologiilor informaţiei:
a) absenţa unor procese documentate de management ale tehnologiilor informaţiei;
b) absenţa răspunderii formalizate pentru activele informaţionale;
c) absenţa sistemului de monitorizare a procesului de realizare a obiectivelor tehnologiilor informaţiei în conformitate cu obiectivele şi sarcinile autorităţii administraţiei publice;
- riscurile legate de hardware:
a) pierderea datelor păstrate în BD;
b) defecţiunea în funcţionarea BD;
c) pierderea integrităţii BD;
d) utilizarea conexiunii existente la BD prin reţea, stabilită de un utilizator autorizat;
e) defectarea serverului BD;
- riscuri ce survin la toate etapele ciclului de viaţă al BD:
a) nivelul insuficient de susţinere şi deservire a BD;
b) accesul nesancţionat la informaţia protejată din BD;
c) modificarea nesancţionată a listei de utilizatori şi a drepturilor lor de acces la BD;
d) manipularea datelor din BD;
e) inaccesibilitatea datelor şi obiectelor BD;
f) defecţiunea în procesul de deservire a BD;
g) pierderea integrităţii informaţiei BD, care trebuia să fie protejată.
5) Cerinţe privind riscurile mediului de control neadecvat realizat
Riscurile mediului de control neadecvat realizat sînt riscuri legate de sistemul controlului intern incapabil să depisteze şi să corecteze la timp acţiunile cu caracter nesancţionat sau de fraudă, semnificative atît individual cît şi colectiv, şi/sau să împiedice survenirea acestui tip de încălcări.
Riscurile mediului de control neadecvat realizat care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor trebuie să includ următoarele:
- încălcările sistemului de control asupra accesului în BD;
- sustragerea datelor din BD;
- abuzurile legate de accesul la distanţă la BD;
- accesul nesancţionat la informaţia protejată a BD;
- pericolele generate de personal în procesul de deservire/management al bazelor de date;
- pericolele generate de specialiştii ce prestează servicii de externalizare, atraşi pentru deservirea elementelor BD;
- potrivirea sau spargerea parolelor utilizatorilor autorizaţi ai BD;
- abuzurile de drepturile utilizatorilor BD;
- software-ul maliţios;
- copierea nesancţionată a purtătorilor de date ale BD;
- intrarea în BD evitînd sistemul de autentificare;
- lansarea nesancţionată a scanerelor BD;
- manipularea datelor sau a software-ului BD;
- încălcarea imposibilităţii de refuz în procesul de schimb de date critice.
6) Cerinţe privind riscurile legate de criteriile integrităţii, accesibilităţii şi confidenţialităţii informaţiei conţinute în bazele de date
Riscurile legate de criteriile integrităţii, accesibilităţii şi confidenţialităţii informaţiei conţinute în BD sînt riscuri ce survin în urma prelucrării şi furnizării unei informaţii incorecte sau denaturate şi sînt legate de divulgarea, modificarea informaţiei şi defectarea capacităţii de lucru a BD în procesul de accesare a datelor ce se conţin în BD respective.
Riscurile care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- riscurile legate de criteriul confidenţialităţii informaţiei:
a) accesul nesancţionat la datele conţinute în BD;
b) distrugerea, deteriorarea sau sustragerea purtătorilor de informaţie a BD;
c) interceptarea datelor BD în procesul de transmitere a acestor date prin canalele de telecomunicaţii;
d) abuzurile de privilegiile utilizatorilor;
- riscurile legate de criteriul integrităţii informaţiei:
a) furtul de date conţinute în BD;
b) introducerea unor date incorecte în BD;
c) modificarea nesancţionată a datelor sau obiectelor în BD;
- riscurile legate de criteriul accesibilităţii informaţiei:
a) dereglarea infrastructurii ce susţine funcţionarea BD;
b) erorile comise în procesul de configurare a sistemului de gestiune al bazelor de date (SGBD);
c) distrugerea sau deteriorarea mijloacelor tehnice;
- riscurile legate de criteriul siguranţei (corectitudinii) informaţiei:
a) modificarea/denaturarea nesancţionată a informaţiei şi respectiv a rezultatelor necesare;
b) prelucrarea funcţională sau prezentarea insuficientă şi incorectă a informaţiei necesare;
c) nerespectarea limitelor temporare pentru executarea lucrărilor;
d) neglijenţa în manipularea datelor din BD;
e) pierderea actualităţii informaţiei la momentul utilizării acesteia;
f) erorile comise în procesul de prelucrare a informaţiei neautentice;
g) violarea integrităţii/accesibilităţii datelor.
7) Cerinţe privind riscurile de forţă majoră
Riscurile de forţă majoră sînt riscuri legate de evenimentele nemijlocite legate de natură, precum şi de cele cu caracter tehnogen şi social.
Riscurile legate de circumstanţele de forţă majoră care trebuie să fie identificate şi analizate în mod obligatoriu şi în privinţa cărora este necesar de întreprins măsuri în vederea reducerii lor includ următoarele:
- dereglarea sistemelor informaţionale şi ale BD ale autorităţilor administraţiei publice;
- pierderea datelor din BD din cauza influenţei unor cîmpuri magnetice puternice;
- deconectarea energiei electrice;
- calamităţile naturale, incendiile;
- defectarea reţelei în raza unui teritoriu mare al autorităţii administraţiei publice;
- imposibilitatea de a restabili în întregime datele din BD.
8) Cerinţe faţă de securitatea informaţiei privind vulnerabilităţile principale ale bazelor de date
Vulnerabilităţile principale care permit realizarea pericolelor securităţii ce vizează BD trebuie să fie analizate în conformitate cu următoarele criterii:
- procesele organizate incorect:
a) delimitarea imprecisă a obligaţiilor privind asigurarea securităţii BD;
b) testarea insuficientă a mijloacelor software ale BD;
c) realizarea insuficientă sau elaborarea incorectă a politicii de securitatea a BD;
d) complexitatea structurii BD;
- absenţa controalelor:
a) urmărirea insuficientă a acţiunilor insaiderilor;
b) evidenţa necorespunzătoare a utilizatorilor care dispun de acces liber la resursele de reţea;
c) controlul insuficient asupra parolelor;
d) dificultăţile sau absenţa monitorizării activităţii utilizatorilor şi administratorilor BD;
e) nivelul insuficient de verificare a participanţilor şi aplicaţiilor conexiunii la BD;
f) absenţa controlului asupra copierii de rezervă a BD;
- nivelul insuficient al profesionalismului colaboratorilor:
a) utilizarea automată a înregistrărilor de evidenţă şi a parolelor nesigure;
b) insuficienţa resurselor;
c) utilizarea necorespunzătoare a configuraţiilor;
d) organizarea incorectă a schimbului de date ale utilizatorilor cu BD;
e) administrarea neprofesională sau nesatisfăcătoare a SGBD;
f) utilizarea insuficientă sau incorectă a mijloacelor standard de asigurare a securităţii informaţiei a BD;
- insuficienţa mijloacelor hardware şi software pentru realizarea securităţii informaţiei a BD:
a) utilizarea datelor de autentificare utilizate în cadrul sistemelor operaţionale;
b) abuzul de împuterniciri;
c) erorile din componentele software-ului BD (de exemplu, supraîncărcarea clipboard-ului);
d) izolarea insuficientă (internă şi externă) de reţea;
e) absenţa sau insuficienţa nivelului de protecţie împotriva accesului nesancţionat;
f) metoda sau mijlocul necalitativ de păstrare a informaţiei în BD;
g) absenţa garanţiei confidenţialităţii şi integrităţii informaţiei transmise;
h) existenţa unor vulnerabilităţi ale sistemelor operaţionale şi protocoalelor de reţea utilizate.
7. Cerinţe faţă de măsurile şi mijloacele de asigurare a securităţii informaţiei a bazelor de date în cadrul abordării structurate
1) Cerinţe privind identificarea, autentificarea şi autorizarea accesului
Mecanismele de identificare, autentificare şi autorizare trebuie să permită prevenirea următoarelor tipuri de pericole:
- accesul neautorizat la BD;
- utilizarea conexiunilor neprotejate şi a porturilor deschise.
Pentru a asigura securitatea informaţiei a BD mecanismele de identificare, autentificare şi autorizare a BD trebuie să corespundă următoarelor cerinţe:
- este necesar de aplicat diverse metode de autentificare şi de utilizat una sau mai multe metode în mod simultan:
a) pentru autentificarea cu ajutorul mijloacelor sistemului operaţional este necesar de utilizat datele de evidenţă de reţea, în principal pentru autentificarea administratorilor SGBD;
b) pentru autentificarea cu ajutorul mijloacelor BD este necesar de utilizat parole sigure;
c) autentificarea trebuie să fie realizată cu ajutorul serviciilor de reţea;
d) autentificarea este obligatorie în cadrul aplicaţiilor cu mai multe niveluri;
- pentru fiecare utilizator al BD este necesar de ţinut următoarea listă cu atribute de securitate: identificatorul utilizatorului BD şi privilegiile accesului la obiectul BD;
- autentificarea administratorului BD trebuie supusă unei proceduri speciale determinată de natura specifică a sarcinilor îndeplinite;
- este necesar de aplicat criptarea parolelor în scopul unei transmiteri în siguranţă prin reţea;
- toate datele de autentificare ale utilizatorilor şi cheile de criptare trebuie să fie păstrate în format criptat;
- este necesar de definit procedurile de stabilire, solicitate, activare, blocare şi eliminare a înregistrărilor de evidenţă a utilizatorilor BD;
- trebuie să existe două tipuri de înregistrări de evidenţă a BD: înregistrarea de evidenţă a proprietarului schemelor şi înregistrarea de evidenţă a aplicaţiilor, pentru a se exclude posibilitatea de acces manual neautorizat la BD;
- fiecare utilizator al BD trebuie să fie autentificat cu succes pînă la autorizarea oricărei alte acţiuni în numele acestui utilizator;
- trebuie să existe posibilitatea de a refuza deschiderea şedinţei în BD pentru utilizator, reieşind din drepturile acestuia.
Cerinţele privind înregistrările de evidenţă ale proprietarilor includ următoarele:
- proprietarul schemelor trebuie să dispună de cod PIN unic (numărul de identificare personal);
- codul PIN trebuie să permită accesul la schemele tabelelor din BD şi la obiectele BD;
- doar administratorul BD trebuie să deţină drepturi de sistem pentru crearea tabelelor şi procedurilor;
- doar administratorii BD trebuie să cunoască codul PIN;
- informaţia despre codurile PIN nu trebuie să fie păstrată la staţiile de lucru sau să fie transmise de către administratorii de sistem.
Este necesar de respectat următoarele cerinţe privind înregistrările de evidenţă ale aplicaţiilor:
- trebuie să existe lista înregistrărilor de evidenţă a aplicaţiilor şi este necesar de efectuat actualizarea acesteia;
- înregistrările de evidenţă ale aplicaţiilor trebuie să fie utilizate de serverele de aplicaţii pentru conectarea la diferite servicii şi BD;
- înregistrările de evidenţă ale aplicaţiilor nu trebuie să dispună de drepturi de creare şi modificare a tabelelor existente;
- toate modificările în cadrul schemelor trebuie să fie efectuate de administratorul BD cu ajutorul înregistrării de evidenţă a proprietarilor de scheme sau a codului PIN;
- parola aplicaţiei trebuie să fie păstrată în mapa cu configuraţii care trebuie să se afle pe serverul aplicaţiilor;
- accesul la servere şi la mapele cu aplicaţii trebuie să fie limitat doar pentru administratorii BD;
- managementul manual al BD trebuie să fie realizat de administratorii BD.
Pentru BD aplicate trebuie să fie elaborate, documentate şi periodic actualizate procedura de identificare şi autentificare, precum şi măsurile legate de implementarea acesteia.
Procedura de identificare şi autentificare a BD trebuie să includă în mod obligatoriu următoarele:
- cerinţele privind crearea şi utilizarea înregistrărilor de evidenţă, inclusiv a înregistrărilor de evidenţă a posesorilor de scheme şi aplicaţii care au acces la BD;
- cerinţele privind managementul parolelor.
2) Cerinţe privind managementul accesului în bazele de date
În cadrul asigurării securităţii informaţiei BD managementul accesului trebuie să asigure protecţia şi delimitarea accesului la datele critice şi la aplicaţiile BD şi să permită de a reduce riscul erorilor, fraudelor, utilizării incorecte şi modificării neautorizate.
Este necesar de respectat cerinţele privind managementul şi delimitarea accesului la BD:
- este necesar de stabilit lista de utilizatori şi de operaţii care necesită utilizarea obiectelor BD în vederea prevenirii fraudelor şi incidentelor de securitate;
- managementul accesului trebuie să fie realizat pentru subiecţii, obiectele şi operaţiile BD;
- managementul accesului trebuie să se bazeze pe separarea împuternicirilor conform acţiunilor;
- accesul la date trebuie să fie obţinut doar de utilizatorul care a susţinut procedura de identificare şi autentificare;
- utilizatorul, inclusiv administratorii, trebuie să dispună doar de accesul la obiectele şi resursele necesare în conformitate cu funcţia deţinută;
- este necesar de utilizat mijloacele şi metodele speciale care asigură delimitarea sigură a accesului;
- este necesar de prevenit manipularea BD şi apelarea la alte aplicaţii ale administratorului aplicaţiilor;
- este necesar de efectuat verificarea şi ajustarea drepturilor de acces ale utilizatorilor în conformitate cu responsabilităţile acestora;
- este necesar de asigurat controlul asupra accesului la BD, inclusiv controlul logic asupra:
a) intrărilor, ieşirilor şi acţiunilor utilizatorilor BD;
b) privilegiilor şi drepturilor de sistem, precum şi asupra modificărilor lor;
c) privilegiilor obiectelor critice ale BD;
d) accesului la datele critice şi la obiectele BD;
- este necesar de aplicat mijloace de protecţie discretă, care asigură delimitarea accesului între subiecţii nominalizaţi şi obiectele nominalizate;
- este necesar de aplicat mijloace de protecţie în bază de mandat, care asigură delimitarea accesului subiectelor la obiectele datelor, bazată pe categoriile de protecţie a informaţiei.
3) Cerinţe privind sistemele de gestiune ale bazelor de date din perspectiva ciclului de viaţă a resursei informaţionale
Susţinerea pentru crearea BD ale autorităţilor administraţiei publice, pentru managementul centralizat şi organizarea accesului diferitor utilizatori la aceste BD în procesul de prestare a serviciilor publice trebuie să fie asigurată de SGBD.
SGBD trebuie să corespundă următoarelor cerinţe:
- să fie proiectat şi edificat astfel încît să se asigure următoarele:
a) fişierele de program ale SGBD să nu fie accesibile în reţea;
b) la fişierele BD de pe server să nu existe acces în reţea;
c) utilizatorii să obţină accesul la datele şi obiectele păstrate în BD doar prin intermediul SGBD;
d) datele din BD să fie criptate pentru a se exclude accesul nesancţionat la acestea;
- să asigure păstrarea în siguranţă a datelor din BD, ceea ce presupune protecţia împotriva defectărilor şi erorilor, precum şi împotriva accesului nesancţionat;
- să menţină integrarea deplină cu modulele hardware de securitate pentru a asigura un nivel înalt de protecţie;
- să asigure o criptare transparentă perfecţionată a datelor din BD în vederea susţinerii criptării spaţiilor tabelare;
- să menţină utilizarea parolelor compuse şi a algoritmelor sigure de funcţii „hash” (hashing) ale parolelor;
- să menţină o autentificare strictă a utilizatorilor privilegiaţi.
4) Cerinţe privind copierea de rezervă şi restabilirea bazelor de date
Pentru excluderea cazurilor de stopare a funcţionării BD ca rezultat al apăriţiei defectelor care încalcă integritatea lor, trebuie să fie efectuate copierea de rezervă şi restabilirea BD.
Este necesar de efectuat copierea de rezervă a BD nemijlocit înainte şi după introducerea următoarelor modificări în BD:
- crearea şi eliminarea spaţiului tabelar;
- adăugarea sau permutarea fişierului cu date în spaţiul tabelar existent;
- adăugarea, permutarea sau eliminarea grupului de date.
Copierea de rezervă a BD trebuie să fie efectuată după cum urmează:
- copierea de rezervă doar a fişierului de administrare a BD;
- copierea de rezervă totală a BD.
Pentru copierea de rezervă a BD şi restabilirea integrităţii este necesar de respectat următoarele cerinţe:
- toate BD şi informaţia critică legată de acestea trebuie să fie supuse periodic copierii de rezervă;
- este necesar de asigurat integritatea, autenticitatea şi controlul asupra copiilor BD de rezervă şi de asigurat accesul la acestea doar pentru personalul abilitat;
- copiile de rezervă trebuie să fie supuse criptării;
- este necesar de verificat, o dată în trei luni, listele de acces la copiile de rezervă ale BD;
- pentru a asigura posibilitatea de restabilire a BD, este necesar ca operaţiile legate de BD să fie executate în întregime sau să nu mai fie executate;
- este necesar de stabilit termenul necesar pentru restabilirea informaţiei critice şi a obiectelor BD şi de elaborat planurile de restabilire;
- operaţiile trebuie să permită posibilitatea readucerii la starea iniţială;
- este necesar de asigurat posibilitatea copierii procesului de executare a operaţiilor legate de BD;
- rezultatele copierii operaţiilor trebuie să fie înregistrate în registrul de sistem;
- în caz de survenire a unei defecţiuni este necesar de a dispune de posibilitatea de a efectua restabilirea într-o anumită poziţie temporară (punct de control);
- este necesar de a efectua operaţia de derulare (reproducerea rezultatelor efectuării tranzacţiei cu ajutorul registrului de sistem) pentru restabilirea BD.
Restabilirea BD trebuie să fie efectuată la trei niveluri diferite:
- restabilirea operativă – restabilirea la nivelul anumitor operaţii în condiţiile terminării anormale a situaţiei de manipulare a datelor (de exemplu, în caz de eroare în software);
- restabilirea temporară – restabilirea situaţiei tuturor operaţiilor efectuate la momentul survenirii deranjamentelor (de exemplu, erorile de sistem şi de program, erorile de software, care nu sînt legate de distrugerea BD);
- restabilirea de lungă durată – restabilirea cu ajutorul copiilor de pe BD în caz de distrugere a acestora şi readucerea sistemului la situaţia de pînă la distrugere.
5) Cerinţe privind protecţia antivirus a bazelor de date
Pentru a asigura securitatea informaţiei, trebuie să se asigure protecţia antivirus, mijloacele cărora trebuie să corespundă următoarelor cerinţe:
- trebuie să fie efectuat controlul permanent în regim de timp real asupra fişierelor BD;
- trebuie să fie verificat, în regim de timp real, la cerere, întregul sistem de fişiere, precum şi toate obiectele din sistemul de fişiere;
- trebuie să fie depistat viruşii şi codul maliţios în fişierele componente ale BD;
- trebuie să fie asigurată posibilitatea alegerii diferitelor acţiuni în caz de depistare a unui virus sau cod maliţios: blocarea accesului la fişier, înregistrarea în registru, ştergerea, redenumirea sau instalarea carantinei, tratarea fişierelor contaminate.
- trebuie să fie asigurată posibilitatea managementului la distanţă;
- este necesar de asigurat posibilitatea de a planifica lansarea sarcinilor şi executarea acţiunilor;
- trebuie să fie asigurată posibilitatea de a exclude în mod flexibil fişiere, domenii, procese din procesul de verificare;
- trebuie să fie asigurată frecvenţa sporită de emitere a actualizărilor;
- trebuie să fie asigurată posibilitatea de a executa actualizările în mod manual la cerere sau în mod automat conform graficului;
- trebuie să fie asigurată posibilitatea de a efectua reculul actualizărilor bazelor antivirus;
- staţiile de lucru la care se realizează conectarea la BD trebuie să fie dotate cu software antivirus;
- trebuie să fie asigurată notificarea administratorului BD despre toate evenimentele importante;
- trebuie să fie asigurată notificarea utilizatorilor despre tentativele de acces la fişierele contaminate;
- trebuie să fie asigurată vizualizarea statisticii şi contoarelor de productivitate în regim de timp real.
La mijloacele de protecţie a factorilor nocivi pentru serverele BD trebuie să fie atribuite următoarele mijloace de funcţionare continuă şi lansare periodică:
- scanerul antivirus la acces;
- scanerul antivirus la cerere;
- mijloacele de actualizare a bazelor antivirus.
6) Cerinţe privind controlul asupra integrităţii bazelor de date
Asigurarea integrităţii BD constă în:
- protejarea datelor din BD împotriva modificărilor incorecte şi nesancţionate, precum şi împotriva distrugerilor;
- asigurarea corectitudinii atît a valorilor tuturor elementelor datelor, precum şi a legăturilor dintre elementele datelor din BD, în procesul de păstrare, transmitere, prelucrare şi copiere de rezervă.
Pentru a menţine integritatea trebuie să fie recomandate de respectat următoarele cerinţe de bază:
- nivelul integrităţii BD – integritatea BD trebuie să fie asigurată la trei niveluri;
a) nivelul tipului de date (corespunderii tipurilor de date);
b) nivelul cheilor (de exemplu, corespunderea cheilor primare cu cele externe);
c) nivelul trigger-elor, procedurilor şi/sau funcţiilor (de exemplu, trigger-ele sînt responsabile doar de domeniile lor de date);
- protecţia antivirus –este necesar de aplicat măsuri de prevenire, depistare şi distrugere a codului maliţios;
- asigurarea autenticităţii:
a) informaţia trebuie să fie introdusă în fiecare element al datelor în strictă conformitate cu descrierea elementului respectiv;
b) trebuie să fie prevăzute mecanisme pentru asigurarea rezistenţei elementelor datelor şi a relaţiilor logice între acestea la erorile sau acţiunile necalificate ale utilizatorilor;
- gestionarea paralelismului:
a) trebuie să fie prevăzute mijloace de gestionare a datelor care să asigure menţinerea integrităţii BD în procesul de executare concomitentă a mai multe operaţii;
b) numărul maxim de şedinţe paralele cu BD permise unui singur utilizator al BD trebuie să fie limitat şi stabilit în prealabil;
- restabilirea:
a) datele păstrate în BD trebuie să fie stabile faţă de influenţele fizice nefavorabile (de exemplu, erorile de echipament, întreruperile în alimentare) şi de erorile din software;
b) trebuie să fie prevăzute mecanisme pentru restabilirea în termene minime a situaţiei BD de pînă la survenirea defecţiunii.
În mod obligatoriu trebuie să fie identificate şi analizate urmăroarele surse ale încălcării integrităţii datelor:
- defectările echipamentului, influenţele fizice sau calamităţile;
- erorile utilizatorilor autorizaţi sau acţiunile deliberate ale utilizatorilor neautorizaţi;
- erorile de program ale SGBD sau ale sistemelor operaţionale;
- erorile din programele aplicative;
- executarea în comun a solicitărilor conflictuale ale utilizatorilor.
Conform criteriului integrităţii informaţiei, este necesar nu doar de a nu permite violarea integrităţii BD, dar şi de depistat la timp actul de violare a integrităţii şi de restabilit în regim operativ integritatea după violare.
7) Cerinţe privind criptarea datelor în bazele de date ce nu conţin informaţii care se atribuie la secret de stat
În cadrul asigurării securităţii informaţiei BD criptarea datelor în BD trebuie să asigure protecţia împotriva accesului nesancţionat şi violarea integrităţii datelor, precum şi în procesul de transmitere a datelor prin reţele de comunicaţii electronice.
Criptarea datelor în BD trebuie să corespundă următoarelor cerinţe:
- este necesar de determinat porţiunile de date din BD a căror criptare este rezonabilă;
- este necesar de aplicat diferite algoritme simetrice şi asimetrice de criptare;
- lungimea textului criptat trebuie să fie egală cu lungimea textului iniţial;
- elementele de structură ale algoritmului de criptare trebuie să fie invariabile;
- este necesar de asigurat corectarea necesară a tipurilor şi dimensiunilor cîmpurilor tabelelor din BD în procesul criptării;
- este necesar de asigurat integritatea şi controlul strict asupra distribuirii cheilor criptografice;
- pentru datele din BD cu nivel înalt de securitate este necesar de efectuat schimbarea cheilor pînă la expirarea termenului lor de acţiune, după care este necesar de efectuat criptarea repetată a datelor din BD cu ajutorul cheilor noi. În funcţie de volumul BD, criptarea repetată a datelor BD ar putea afecta disponibilitatea acestora pentru o perioadă mare de timp;
- este necesar de asigurat posibilitatea de a efectua criptarea selectivă a spaţiului tabelar al BD;
- criptarea datelor trebuie să se efectueze pe serverul BD sau pe un server separat pentru criptare, şi în nici un caz la client.
8) Cerinţe privind auditul şi monitorizarea bazelor de date
La efectuarea auditului şi monitorizării securităţii BD este necesar de asigurat existenţa sau disponibilitatea:
- politicii de restabilire a BD în caz de avarie;
- procedurilor de supraveghere pentru urmărirea accesului nesancţionat sau a modificării datelor;
- confirmării corespunderii cu standardele şi cerinţele securităţii;
- sistemului de securitate a SGBD pentru confirmarea drepturilor de acces şi verificarea împuternicirilor utilizatorilor (de exemplu, autentificarea Windows);
- politicii de control asupra accesului;
- colaboratorului desemnat şi responsabil de securitate (de exemplu, managerul de securitatea BD);
- politicii de securitate a BD înainte de aplicarea acesteia;
- procesului de copiere de rezervă regulată a întregului software al BD;
- procesului de asigurare a continuităţii în funcţionarea BD;
- controlului strict asupra corespunderii dintre mediul de exploatare şi de testare şi versiunea BD.
Auditul şi monitorizarea BD trebuie să includă următoarele componente de bază:
- auditul accesului/autentificării:
a) este necesar de verificat lista de persoane şi sisteme accesibile pentru persoanele respective, timpul şi modalitatea de acces;
b) fiecare eveniment supus potenţial auditului BD trebuie să fie asociat cu identificatorul utilizatorului BD care a fost iniţiatorul evenimentului respectiv;
c) doar persoanele abilitate au acces la registrele de audit;
d) este necesar de creat un raport privind tentativele eşuate de apelare la obiectele BD pe motiv de insuficienţă de privilegii sau din cauza absenţei obiectelor respective;
- auditul utilizatorilor/administratorilor:
a) este necesar de verificat activitatea atît a utilizatorilor cît şi a administratorilor în interiorul BD;
b) este necesar de asigurat existenţa mijloacelor incorporate de audit şi de control asupra acţiunilor utilizatorilor în SGBD;
c) toate acţiunile cu datele critice din BD trebuie să fie protocolate:
- accesul la date;
- evenimentele de înregistrare/ieşire;
- modificarea structurii BD;
d) administratorul BD trebuie să fie izolat de managementul auditului;
e) este necesar de creat un raport despre erorile în procesul de operare a utilizatorilor cu BD supravegheată;
- avertizarea de securitate:
a) este necesar de identificat şi de semnalizat orice acces suspect, neordinar sau de avarie la datele critice şi la sisteme;
b) registrul evenimentelor legate de operaţii de web, registrul de securitate a firewall-ului, registrul conexiunilor deschise cu BD, registrul evenimentelor de sistem trebuie să fie identificare de serverele de web, de firewall-uri, de aplicaţii şi de serverul BD;
- existenţa rapoartelor privind următoarele direcţii de activitate:
a) raportul general privind conexiunile realizate cu BD vizată trebuie să conţină:
- denumirea BD cu care a fost stabilită conexiunea;
- numele utilizatorului BD;
- adresa IP şi denumirea staţiei de lucru la care a fost stabilită conexiunea;
- numele local al utilizatorului la staţia sa de lucru;
- denumirea software-ului cu ajutorul căruia a fost stabilită conexiunea, dacă aceasta este posibil;
- ora lansării şedinţei utilizatorului în BD;
- durata şedinţei utilizatorului în BD;
- starea conexiunii (activă, neactivă, în faza de expirare);
b) raportul privind apelurile la obiectul specificat şi operaţiile în privinţa acestuia trebuie să conţină:
- denumirea bazei de date în cadrul căruia se efectuează auditul;
- intervalul de timp în decursul căruia se va efectua auditul;
- adresa IP a clientului, de la care se vor efectua solicitările;
- programul-client din care se vor efectua solicitările;
- numele utilizatorului BD;
- operatorul limbajului solicitărilor, care poate prezenta interes pentru utilizator;
- obiectele BD la care se asigură accesul şi care conţin informaţie critică;
c) raportul privind conexiunile privilegiate (de exemplu, şedinţele efectuate cu ajutorul rolului de sistem, şedinţele efectuate de utilizatorii de sisteme «sys», «system», şedinţele în care au fost fixate solicitări de modificare a structurii BD);
d) raportul privind tentativele eşuate de conectare la BD din cauza introducerii greşite a numelui utilizatorului sau a parolei demonstrează tentativele de atac asupra SGBD.
9) Cerinţe faţă de mecanismele monitorizării în bazele de date
Mecanismele monitorizării BD trebuie să micşoreze cantitatea erorilor. Resursele limitate, factorul uman sau testarea insuficientă a aplicaţiilor facilitează apariţia punctelor slabe ale BD.
Mecanismele monitorizării BD trebuie să asigure informaţia referitoare la categoriile datelor utilizate, poziţionarea acestora şi metodele de protecţie a aplicaţiilor interconexe, precum şi să asigure integritatea şi veridicitatea datelor necontradictorii.
Mecanismul de bază de monitorizare a BD îl reprezintă politica de monitorizare a BD, prin intermediul căreia trebuie să fie determinate:
- atît monitorizare unică a BD, cît şi în regim automat la intervale de timp prestabilite;
- actualizarea planului de monitorizare integral, sau numai a obiectelor a căror informaţie a suferit modificări în BD;
- asigurarea integrităţii şi înregistrării setărilor monitorizării;
- realizarea protocolului procesului de monitorizare şi revizuirea protocolului cu posibilitatea filtrării înregistrărilor, asigurarea integrităţii protocolului.
Mecanismele de monitorizare a BD sînt:
- automatizarea deservirii şi evidenţei;
- documentarea structurii BD;
- verificarea copiei de rezervă;
- evidenţa şi analiza registrului de erori;
- analiza eficacităţii BD;
- analiza accesibilităţii serviciilor;
- analiza tendinţelor de modificare a parametrilor de monitorizare;
- arhivarea datelor;
- analiza riscurilor informaţionale.
- monitorizarea punctelor vulnerabile/pericolelor:
a) este necesar de depistat punctele vulnerabile din BD;
b) controlul asupra BD trebuie să includă auditul securităţii de reţea şi auditul securităţii sistemelor de aplicaţie;
c) este necesar de asigurat posibilitatea de efectuare a controlului post-factum şi în regim de timp real în scopul reacţionării operative;
d) este necesar de utilizat scanerele BD pentru a depista punctele vulnerabile;
- verificarea modificărilor:
a) este necesar de stabilit baza pentru BD (configuraţia, schema, utilizatorii, privilegiile şi structura) şi ulterior de urmărit devierile în raport cu baza respectivă;
b) toate modificările legate de BD trebuie să fie urmărite în mod permanent şi supuse unei verificări periodice;
c) este necesar de înregistrat toate modificările în registrele de controale şi verificări, care sunt introduse în BD de fiecare operaţie, în vederea restabilirii BD.
10) Cerinţe privind monitorizarea a traficului de solicitării faţă de bazele de date
Securitatea informaţiei cu aplicarea mijloacelor de monitorizare a traficului tuturor solicitărilor privind BD trebuie să fie asigurată doar pentru datele cu nivel înalt de securitate.
La utilizarea mijloacelor de monitorizare a traficului de solicitări faţă de BD este necesar de respectat următoarele cerinţe:
- de efectuat controlul întregului trafic în direcţia de la utilizatori spre serverul BD, incluzînd solicitările locale;
- de fixat orice apel către BD;
- de efectuat controlul asupra:
a) volumului datelor transferate;
b) aplicaţiei utilizate pentru apelarea la BD;
- de asigurat posibilitatea de a instala un filtru pentru depistarea anumitor cuvinte în solicitarea faţă de BD;
- de efectuat controlul asupra sarcinilor suplimentare ale serverelor BD;
- de efectuat controlul asupra reţinerilor în parcurgerea traficului.
11) Cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a bazelor de date
Pentru realizarea proceselor de asigurare a securităţii informaţiei a BD în procesul de prestare a serviciilor publice trebuie să fie efectuată delimitarea exactă a responsabilităţii şi împuternicirilor legate de realizarea datelor.
În procesul de asigurare a securităţii informaţiei a BD este necesar de delimitat împuternicirile în conformitate cu următoarele acţiuni:
- utilizarea BD;
- introducerea datelor de intrare în BD;
- operaţiile cu BD;
- managementul reţelei aferente BD;
- managementul BD,
- crearea şi susţinerea BD;
- managementul modificărilor în BD;
- managementul securităţii BD;
- auditul securităţii BD.
Subdiviziunile şi colaboratorii din cadrul autorităţilor administraţiei publice trebuie să-şi execute obligaţiunile privind asigurarea securităţii informaţiei a BD în conformitate cu documentele organizatorico-dispozitive elaborate şi aprobate de conducere (prevederi, instrucţiuni, responsabilităţi, liste, formulare).
Pentru realizarea şi susţinerea măsurilor corespunzătoare de asigurare a securităţii informaţiei a BD trebuie să fie stabilite următoarele roluri:
- conducerea – poartă răspundere deplină pentru elaborarea şi susţinerea politicii de securitate, stabilind modul general de abordare a securităţii şi a controlului intern asupra resurselor informaţionale ale organizaţiei;
- administratorul BD este responsabil de:
a) instalarea şi actualizarea versiunii SGBD şi a versiunii instrumentelor aplicative;
b) crearea structurilor primare de memorie (spaţii tabelare) şi a obiectelor BD;
c) modificarea structurii BD în conformitate cu necesităţile noi;
d) introducerea utilizatorilor şi învestirea lor cu drepturi;
e) managementul şi urmărirea accesului utilizatorilor la BD;
f) urmărirea şi optimizarea eficienţei BD;
g) planificarea şi efectuarea copierii de rezervă şi a restabilirii BD;
h) menţinerea integrităţii datelor de arhivă ale BD;
- proprietarii obiectelor BD (utilizatori privilegiaţi):
a) dispun de împuterniciri depline în privinţa obiectelor create de ei;
b) poartă răspundere pentru managementul şi urmărirea accesului utilizatorilor la BD;
c) poartă răspundere pentru managementul accesului la obiectul creat;
d) poartă răspundere pentru susţinerea măsurilor aplicate de securitate a obiectului creat;
- custozii BD – poartă răspundere pentru integritatea copiilor de rezervă de pe BD;
- utilizatorii finali ai BD:
a) dispun de un set strict limitat de privilegii de manipulare a datelor în BD;
b) poartă răspundere pentru toate acţiunile săvîrşite în numele înregistrărilor lor de evidenţă, în cazul cînd nu este demonstrat faptul că înregistrările respective de evidenţă au fost utilizate în mod nesancţionat;
- programatorii de programe aplicative poartă răspundere pentru crearea programelor ce utilizează BD;
- managerii pentru securitatea informaţiei poartă răspundere pentru managementul securităţii informaţiei a BD;
- auditorii securităţii BD:
a) asigură conformitatea proceselor de funcţionare şi securitate a BD cu cerinţele stabilite;
b) efectuează auditul accesului la BD, auditul modificărilor în structura BD şi auditul utilizării privilegiilor de sistem de orice natură.
Anexa nr. 2
la Ordinul nr. 106
din 20 decembrie 2010
la Ordinul nr. 106
din 20 decembrie 2010
REGLEMENTARE TEHNICĂ
Asigurarea securităţii informaţiei a infrastructurii
informaţionale pentru autorităţile administraţiei publice.
Cerinţe tehnice
1. Domeniu de aplicareAsigurarea securităţii informaţiei a infrastructurii
informaţionale pentru autorităţile administraţiei publice.
Cerinţe tehnice
Prezenta reglementare tehnică stabileşte cerinţele de asigurare a securităţii informaţiei a componentelor infrastructurii informaţionale (II), care permit asigurarea unei funcţionări sigure a tehnologiilor informaţiei în cadrul autorităţilor administraţiei publice.
Prezenta reglementare tehnică defineşte rolurile şi responsabilităţile aferente procesului de asigurare a securităţii informaţiei din cadrul autorităţilor administraţiei publice.
Prevederile prezentei reglementări tehnice se aplică pentru toate componentele II ale autorităţilor administraţiei publice în scopul asigurării unui nivel adecvat al securităţii informaţiei.
Prezenta reglementare este elaborată în baza următoarelor acte legislative şi normative ale Republicii Moldova:
- Legea cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- Legea privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- Legea cu privire la informatizare şi resursele informaţionale de stat nr. 467–XV din 21.11.2003;
- Legea cu privire la documentul electronic şi semnătura digitală nr. 264-XV din 15.07.2004;
- Legea privind comerţul electronic nr. 284-XV din 22.07.2004;
- Legea privind activitatea de reglementare tehnică nr. 420-XVI din 22.12.2006;
- Legea cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- Legea cu privire la registre nr. 71-XVI din 22.03.2007;
- Legea comunicaţiilor electronice nr. 241-XVI din 15.11.2007;
- Legea cu privire la secretul de stat nr. 245-XVI din 27.11.2008.
În prezenta reglementare sînt utilizaţi următorii termeni:
Arhitectura infrastructurii informaţionale – setul de soluţii esenţiale privind organizarea infrastructurii informaţionale, precum şi setul de elemente şi interfeţe structurale din care constă infrastructura, împreună cu comportamentul descris în termenii cooperării acestor elemente.
Circuit extern – infrastructură publică care asigură interacţiunea cetăţenilor şi a mediului de afaceri cu autorităţile administraţiei publice.
Circuit intern – sisteme informaţionale care deservesc procesele din interiorul sistemului de administrare publică, inclusiv prestarea serviciilor interne structurilor şi funcţionarilor din administraţie atît la nivel central, cît şi la cel local.
Guvernare electronică – activităţile de guvernare realizate în baza utilizării tehnologiilor informaţiei şi de comunicaţii.
Management discret al accesului – delimitarea accesului între subiectele şi obiectele nominalizate.
Managementul accesului prin mandat - bazat pe compararea categoriilor de acces la obiectele (fişiere, mape, desene) cu autorizaţia oficială de acces al subiectului la informaţie.
Situaţie excepţională – întrerupere neplanificată a proceselor-business curente condiţionată de întreruperea survenită în activitatea infrastructurii informaţionale.
2.Cerinţe privind clasificarea structurii infrastructurii informaţionale
II reprezintă un sistem de formare, distribuire şi utilizare a tehnologiilor informaţiei-comunicaţionale care asigură interacţiunea autorităţilor administraţiei publice, oferind accesul la resursele informaţionale.
La categoria componentelor principale ale II sînt atribuite următoarele:
- hardware – un ansamblu de dispozitive electronice, electrice şi mecanice care fac parte din structura sistemelor informaţionale şi a reţelelor autorităţilor administraţiei publice. La categoria hardware sînt atribuite:
a) staţii de lucru, servere şi dispozitive logistice;
b) dispozitive externe şi aparataj de diagnosticare;
c) echipament energetic, baterii şi acumulatoare;
- sistemele operaţionale - asigură executarea programelor şi aplicaţiilor, distribuirea resurselor, planificarea, introducerea-extragerea şi gestionarea datelor, de asemenea, acestea determină grupul interdependent de protocoale de niveluri superioare care asigură funcţiile de bază ale reţelei:
a) direcţionarea obiectelor;
b) funcţionarea serviciilor;
c) asigurarea securităţii datelor;
d) managementul reţelei;
- bazele de date – un ansamblu de date coerente, organizate în baza unor reguli determinate care stabilesc principiile generale de descriere, păstrare şi prelucrare a datelor;
- reţeaua de comunicaţii electronice – permite adoptarea şi implementarea unei politici unice privind protecţia şi securitatea informaţiei, pentru interconectarea tuturor resurselor şi sistemelor informaţionale departamentale şi teritoriale, precum şi pentru prestarea unor servicii de înaltă calitate. Reţeaua de telecomunicaţii include mijloace de bază pentru prelucrarea informaţiei şi de comunicaţii electronice, la care sînt atribuite următoarele:
a) mijloace de marşrutizare şi de comutare a mediului de comunicaţii electronice;
b) canale fizice de telecomunicaţii şi transfer de date;
c) dispozitive informaţionale ale utilizatorilor finali;
- mijloacele de suport - asigură suportul pentru funcţionarea întregii II (de exemplu, mijloace de gestionare a eficienţei serverilor, mijloace de gestionare a păstrării datelor);
- mijloace multimedia - asigură apelul semnalului de televiziune pe monitor, ieşirea video mixtă, desfăşurarea imaginilor video vii pe monitor, filtrarea criptată şi scalabilizarea imaginilor video, comprimarea şi decomprimarea hardware-digitală a imaginilor video, precum şi accelerarea operaţiilor grafice legate de grafica tridimensională. Mijloacele multimedia operează cu cîteva tipuri de date multimedia:
a) text;
b) grafică;
c) efecte auditive;
d) imagini video;
e) fotografii;
- centrul de guvernare electronică, ale cărui sarcini principale sînt managementul proceselor tehnice şi tehnologice şi monitorizarea procesului de rezolvare a tuturor incidentelor înregistrate.
Componentele II trebuie să includă interacţiunea între subiecţii guvernării electronice desfăşurată pe două circuite care comunică între ele prin intermediul portalului guvernamental:
- circuitul intern – trebuie să includă sistemele informaţionale care deservesc procesele ce au loc în interiorul sistemului de administraţie publică, inclusiv acordarea serviciilor interne structurilor şi angajaţilor din cadrul administraţiei atît la nivel central cît şi la nivel local;
- circuitul extern - trebuie să includă infrastructura publică ce asigură interacţiunea cetăţenilor şi a mediului de afaceri cu autorităţile administraţiei publice prin intermediul portalului guvernamental.
Toate componentele II trebuie abordate ca o totalitate a trei spaţii autonome, dar legate între ele:
- spaţiul convenţional „central”, componentele căruia sînt generale, fiind necesare pentru funcţionarea întregii II;
- spaţiu convenţional „periferic” şi convenţional „auxiliar”, ale căror componente execută sarcini individuale ale II.
Din perspectiva racordării la reţeaua Internet, componentele II trebuie împărţite în:
- deschise - componentele II care pot fi accesate din Internet;
- închise - componentele II la care accesul din Internet trebuie să fie interzis.
Toate componentele II trebuie să fie compatibile între ele din punct de vedere informaţional şi tehnologic.
3. Cerinţe privind nivelurile infrastructurii informaţionale
Toate componentele ale II vor fi organizate în trei niveluri ierarhice:
- nivelul de prezentare – trebuie să asigure accesul utilizatorilor la serviciile guvernării electronice şi are la bază modelul care identifică acţiunile autorităţilor administraţiei publice din punctul de vedere al funcţiilor şi modului de realizare a acestor funcţii. Modelul trebuie să descrie obligaţiunile autorităţilor administraţiei publice faţă de cetăţeni şi mediul de afaceri, trebuie să stabilească necesităţile şi scopurile trasate, procesele şi fluxurile informaţionale, serviciile acordate şi resursele existente. Pentru a asigura securitatea acestui nivel este necesar de asigurat protecţia portalului guvernamental, care oferă posibilitatea schimbului de informaţii cu publicul prin reţele de comunicaţii, inclusiv Internet, şi reprezintă un punct de acces la resursele şi serviciile informaţionale. De asemenea, este necesar de asigurat protecţia paginilor - web oficiale ale autorităţilor administraţiei publice, precum şi a centrelor de apel;
- nivelul aplicaţiilor – trebuie să asigure structurarea resurselor informaţionale ale sistemului, software-ului, ale utilizatorilor de informaţii, drepturilor şi politicilor de acces şi audit, care asigură integrarea, autentificarea şi securitatea. Securitatea informaţiei acestui nivel urmează să fie asigurată prin respectarea şi îndeplinirea cerinţelor de securitate stabilite faţă de componentele II;
- nivelul tehnologic – trebuie să asigure hotărîrea problemelor aferente păstrării şi utilizării datelor, asigurarea integrităţii tehnologice, protecţiei şi securităţii prin metode şi mecanisme fizice şi logice de asigurare a securităţii. Securitatea informaţiei acestui nivel urmează să fie asigurată în conformitate cu cerinţele privind măsurile şi mijloacele de asigurare a securităţii componentelor II.
4. Cerinţe privind obiectivele şi sarcinile asigurării securităţii informaţiei a infrastructurii informaţionale
Prin asigurarea securităţii informaţiei a II trebuie să fie realizate următoarele obiective strategice:
- asigurarea transparenţei activităţii autorităţilor administraţiei publice;
- crearea şi implementarea sistemelor informaţionale şi a aplicaţiilor pentru susţinerea proceselor din cadrul autorităţilor administraţiei publice;
- dezvoltarea II de stat ţinînd cont de cerinţele securităţii;
- protecţia II împotriva deteriorărilor şi tentativelor premeditate şi accidentale de modificare a modului de funcţionare a acesteia;
- asigurarea criteriilor securităţii informaţiei a componentelor II.
Sarcinile de bază în procesul asigurării securităţii informaţiei a II sînt următoarele:
- identificarea dispoziţiilor generale care reglementează cerinţele securităţii informaţiei, specifice pentru componentele II;
- atribuirea responsabilităţii pentru asigurarea securităţii informaţiilor a componentelor II;
- realizarea cerinţelor implementînd măsuri programatic-tehnice adecvate şi mijloace de protecţie a informaţiei;
- implementarea unui sistem de management al securităţii informaţiei;
- organizarea controlului regulat şi documentarea eficienţei asigurării securităţii informaţiei II şi, în caz de necesitate, revizuirea cerinţelor de securitate a informaţiei;
- instruirea personalului privind securitatea informaţiei.
Pentru asigurarea securităţii informaţiei a componentelor II trebuie respectate următoarele criterii de protecţie a componentelor II:
- confidenţialitate - asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces;
- integritate - păstrarea acurateţei şi completitudinii informaţiilor, precum şi a metodelor de procesare;
- accesibilitate - asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele asociate, atunci cînd este necesar.
Protecţia componentelor II trebuie să corespundă:
- măsurilor elaborate pentru reducerea la minimum a riscurilor critice şi prioritare, identificate în rezultatul evaluării riscurilor;
- cerinţelor de securitate a informaţiei şi de management al riscurilor determinate de către proprietarul componentelor, cu respectarea criteriilor de confidenţialitate, integritate şi accesibilitate.
Asigurarea securităţii informaţiei a II trebuie să se bazeze pe principiile care sînt examinate în următoarele Regulamente Tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.6 Procesul de gestionare a securităţii informaţiei;
- «Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 4.3 Principiile de asigurare a securităţii informaţiei.
5. Cerinţe privind metodele de abordare a securităţii informaţiei a infrastructurii informaţionale
Asigurarea securităţii informaţiei a componentelor II trebuie să se bazeze pe următoarele abordări, care urmează a fie aplicate în mod consecvent:
- metoda de abordare procesuală a asigurării securităţii informaţiei;
- metoda de abordare sistemică a asigurării securităţii informaţiei;
- metoda de abordare structurată a asigurării securităţii informaţiei.
1) Metoda de abordare procesuală a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru gestionarea şi asigurarea securităţii informaţiei a componentelor II este necesar de aplicat metoda de abordare procesuală, care trebuie să determine:
- procesele de gestionare a asigurării securităţii informaţiei a componentelor II;
- procesele de management II din punctul de vedere al asigurării securităţii informaţiei.
Condiţia necesară pentru a asigura procesele de gestionare a securităţii informaţiei II este includerea politicilor şi procedurilor formalizate şi aprobate de către autorităţile administraţiei publice, pentru care sînt stabilite cerinţele securităţii informaţiei:
- procesul de management al riscurilor tehnologiilor informaţionale;
- procesul de gestionare a configuraţiilor;
- procesul de management al incidentelor;
- procesul de management al modificărilor;
- procesul de management al continuităţii;
- auditul şi evaluarea conformităţii.
Fiecare componentă a II trebuie să funcţioneze în conformitate cu cerinţele de asigurare a securităţii informaţiei pe tot parcursul ciclului său de viaţă şi să parcurgă succesiv patru procese:
- planificarea – trebuie stabilite procesele şi procedurile aferente analizei de riscuri şi protecţiei tuturor componentelor II;
- implementarea – trebuie testate cerinţele către securitatea informaţiei la implementarea şi punerea în funcţiune a componentelor II;
- evaluarea – trebuie analizată şi controlată conformitatea cerinţelor securităţii informaţiei la realizarea controlului şi analizei stării componentelor II;
- mentenanţa – trebuie urmărite incidente, problemele asociate cu stabilirea cerinţelor către securitatea informaţiei, cu sprijinul funcţionării eficiente a componentelor II.
În cadrul proceselor date trebuie să fie determinate următoarele cerinţe care sînt o parte integrantă metodei de abordare procesuale a asigurării securităţii informaţiei II:
- cerinţe privind reglementarea şi documentarea proceselor, precum şi sistemului integru de protecţie a componentelor II, fiind aplicate măsuri şi mijloace compatibile de asigurare a securităţii acestora;
- cerinţe privind organizarea şi reglementarea centralizată prin intermediul politicilor şi procedurilor ale proceselor de management II din punctul de vedere al asigurării securităţii informaţiei, proceselor de management al securităţii informaţiei a componentelor II.
2) Metoda de abordare sistemică a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru asigurarea securităţii informaţiei a componentelor II este necesară aplicarea metodei de abordare sistemică, care trebuie să determine cerinţele securităţii informaţiei pentru fiecare componentă a II în conformitate cu următoarea clasificare, precum şi către obiecte concrete ale infrastructurii în cadrul fiecărei clase:
- cerinţe către mijloacele hardware;
- cerinţe către sistemele operaţionale;
- cerinţe către bazele de date;
- cerinţe către reţea, inclusiv către infrastructura reţelei şi mijloacele reţelei;
- cerinţe către mijloacele de suport a funcţionării infrastructurii informaţionale;
- cerinţe către mijloacele multimedia;
- cerinţe către centrul de guvernare electronic.
3) Metoda de abordare structurată a asigurării securităţii informaţiei a infrastructurii informaţionale
Pentru asigurarea securităţii informaţiei a componentelor II este necesară aplicarea metodei de abordare structurată, care trebuie să determine cerinţele către măsurile de bază şi mijloacele de asigurare a securităţii informaţiei II:
- cerinţe către identificarea, autentificarea şi autorizarea;
- cerinţe către managementul accesului;
- cerinţe către protecţia antivirus;
- cerinţe către ţinerea registrelor de evenimente;
- cerinţe către copierea de rezervă şi restabilirea componentelor II;
- cerinţe către securitatea fizică a componentelor infrastructurii informaţionale;
- cerinţe privind mijloacele de protecţie criptografică a informaţiei;
- cerinţe privind mijloacele de monitorizare;
- cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a infrastructurii informaţionale;
- cerinţe privind instruirea personalului în materie de asigurare a securităţii informaţiei.
6. Cerinţe către asigurarea securităţii informaţiei a infrastructurii informaţionale, ca parte a abordării prin intermediul proceselor
1) Cerinţe securităţii informaţiei privind managementul riscurilor tehnologiilor informaţionale
Pentru a asigura securitatea informaţiei II abordarea managementului riscurilor tehnologiilor informaţionale trebuie să asigure atingerea obiectivelor următoare:
- contribuirea la realizarea obiectivelor strategice şi tactice ale componentelor infrastructurii prin reducerea nivelului riscurilor pînă la un nivel acceptabil;
- elaborarea instrucţiunilor practice necesare pentru evaluarea şi minimizarea riscurilor identificate în limitele II;
- suportul procesului de luare a deciziilor privind asigurarea securităţii componentelor II;
- reducerea pierderilor ce rezultă din realizarea a diverse operaţii, efectuarea cărora este legată de riscurile identificate.
Abordarea managementului riscurilor tehnologiilor informaţionale constă în realizarea următoarelor acţiuni:
- determinarea sferei şi limitelor procesului de management al riscurilor tehnologiilor informaţionale:
a) trebuie stabilite categoriile componentelor, activelor şi ale proceselor-business care vor fi examinate în cadrul gestionării riscurilor tehnologiilor informaţionale;
b) categoriile datelor protejate trebuie să corespundă următoarelor principii de clasificare a informaţiei:
- pe grade de secretizare conform Legii Republicii Moldova cu privire la secretul de stat nr. 245-XVI din 27.11.2008;
- pe categorii ale datelor cu caracter personal conform Legii Republicii Moldova cu privire la protecţia datelor cu caracter personal nr. 17-XVI din 15.02.2007;
- pe obiecte ale secretului comercial conform Legii Republicii Moldova cu privire la secretul comercial nr. 171-XIII din 06.07.1994;
- pe acces la informaţia oficială conform Legii Republicii Moldova privind accesul la informaţie nr. 982-XIV din 11.05.2000;
- pe acces la informaţia care este formată, procesată, păstrată în sisteme speciale conform Hotărîrii Guvernului Republicii Moldova cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova nr. 735 din 11.06.2002;
c) trebuie stabilit nivelul de detaliere la identificarea riscurilor tehnologiilor informaţionale;
- analiza riscurilor tehnologiilor informaţionale:
a) trebuie efectuată o analiză calitativă şi cantitativă a riscurilor tehnologiilor informaţionale;
b) trebuie identificate toate componentele II şi trebuie stabilit gradul lor de importanţă;
c) trebuie identificate pericolele potenţiale aferente securităţii informaţiei care pot afecta funcţionarea componentelor II;
d) trebuie identificate toate punctele vulnerabile eventuale care pot favoriza survenirea pericolelor aferente componentelor II;
e) trebuie evaluată probabilitatea surveniri pericolelor prin intermediul punctelor vulnerabile identificate;
f) trebuie stabilit nivelul general al pericolelor aferente componentelor critice ale infrastructurii;
g) trebuie efectuată evaluarea riscurilor aferente componentelor II;
- elaborarea măsurilor privind minimizarea riscurilor tehnologiilor informaţionale:
a) trebuie clasificate riscurile şi stabilită ordinea priorităţii acestora;
b) clasificarea riscurilor urmează să fie executată după efectuarea analizei riscurilor în baza evaluării riscurilor;
c) trebuie stabilit un complex general de mijloace hardware şi software şi de măsuri organizaţionale, realizarea cărora este necesară pentru minimizarea riscurilor substanţiale aferente componentelor II;
d) trebuie identificat riscul rezidual care urmează să fie aprobat de către conducerea autorităţii administraţiei publice respective ca fiind acceptabil;
e) toate deciziile privind măsurile ce ţin de managementul riscurilor II trebuie să fie înregistrate şi să ofere garanţia că riscurile au fost reduse pînă la un nivel acceptabil;
- monitorizarea riscurilor tehnologiilor informaţionale - trebuie stabilite şi setate controale şi un complex hardware şi software pentru funcţionarea în regim automat sau pentru urmărirea de către personal;
- documentarea gestionării riscurilor tehnologiilor informaţionale:
a) politica de management al riscurilor – trebuie să determine obiectivele şi procesele de management al riscurilor pentru asigurarea securităţii informaţiei tuturor componentelor II;
b) metodologia de analiză a riscurilor – trebuie să stabilească etapele efectuării analizei riscurilor şi cerinţele privind acestea, precum şi diapazoanele eventualelor rezultate ale diferitor parametri;
c) raport privind analiza riscurilor – trebuie să includă rezultatele detaliate ale evaluării riscurilor în conformitate cu metodologia aprobată;
d) planul de gestionare a riscurilor – trebuie să includă deciziile aprobate aferente minimizării riscurilor tehnologiilor informaţionale, în baza raportului privind analiza riscurilor.
2) Cerinţe securităţii informaţiei privind managementul configuraţiilor
Pentru a asigura securitatea informaţiei managementul configuraţiilor componentelor II trebuie să asigure obiectivele următoare:
- înregistrarea exactă a informaţiei detaliate despre componentele II;
- furnizarea unor informaţii şi documente exacte pentru susţinerea altor procese de asigurare a securităţii informaţiei a II.
În procesul de management al configuraţiilor este necesar de îndeplinit următoarele acţiuni pentru toate componentele II:
- planificarea – trebuie să fie determinate strategia, politica şi sarcinile procesului de management al configuraţiilor componentelor II; să fie determinate mijloacele şi resursele necesare pentru asigurarea securităţii informaţiei;
- identificarea – trebuie să fie constituite procesele de susţinere a tuturor componentelor II; să fie înregistrate toate componentele II, relaţiile dintre acestea şi informaţia despre posesorul componentelor sau despre persoanele responsabile de ele şi despre documentaţia disponibilă aferentă asigurării securităţii informaţiei;
- controlul – trebuie să se asigure conformitatea operaţiunilor de adăugare, modificare, substituire sau lichidare a componentelor din II cu cerinţele interne ale autorităţii administraţiei publice respective, cu disponibilitatea documentului corespunzător;
- monitorizarea – trebuie urmărită modificarea statutelor componentelor II (de exemplu: în proces de elaborare, în proces de testare, disponibil, în proces de utilizare, exclus din mediul de lucru);
- verificarea – trebuie realizat auditul II privind respectarea cerinţelor legislaţiei în vigoare şi a cerinţelor interne ale unui anumit organ al administraţiei publice;
- raportarea – trebuie furnizată informaţia pentru alte procese de asigurare a securităţii informaţiei a II.
Procesul de management al configuraţiilor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
3) Cerinţe securităţii informaţiei privind managementul incidentelor
Pentru a asigura securitatea informaţiei managementul incidentelor de securitate ale informaţiei a II trebuie să asigure atingerea obiectivelor următoare:
- garantarea faptului că evenimentele şi punctele slabe din sistemul de protecţie a componentelor II sînt comunicate astfel încît este posibilă executarea unor acţiuni corective în timp util;
- diminuarea sau excluderea impactului negativ al dereglărilor în procesul neîntrerupt de lucru al tuturor componentelor II.
Managementul incidentelor din toată II trebuie realizat în conformitate cu următoarele etape:
- depistarea şi înregistrarea incidentelor;
- clasificarea şi mentenanţa iniţială;
- investigarea şi diagnosticarea;
- soluţionarea şi restabilirea;
- închiderea incidentului;
- controlul, monitorizarea, urmărirea şi comunicaţiile.
Etapele date sînt examinate mai detaliat în următoarele Regulamente Tehnice:
- «Prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.1 Gestionarea incidentelor;
«Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice. Cerinţe tehnice» punctul 5.5.3 Cerinţe privind reacţionarea la incidentele de încălcare a securităţii.
Procesul de management al incidentelor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
4) Cerinţe securităţii informaţiei privind managementul modificărilor
Pentru a asigura securitatea informaţiei managementul modificărilor trebuie să asigure atingerea obiectivelor următoare:
- stabilirea modificărilor necesare în cadrul II şi a mijloacelor de implementare a acestora;
- controlul (urmărirea) asupra implementării modificărilor în cadrul II;
- reducerea numărului de incidente de securitate a informaţiei cauzate de modificările din II.
Cerinţele privind managementul modificărilor în II trebuie să includă următoarele:
- trebuie efectuată periodic inventarierea tuturor componentelor II, clasificarea acestora şi stabilirea priorităţilor, ceea ce va permite de a urmări modificările în II;
- în caz de modificare a structurii II, trebuie efectuată evaluarea riscurilor de securitate a informaţiei, în special a riscurilor organizaţionale şi tehnice;
- trebuie asigurată monitorizarea evenimentelor legate de modificarea configuraţiilor mijloacelor software şi hardware;
- trebuie asigurat controlul asupra modificărilor legate de înregistrările de evidenţă şi drepturile de acces ale utilizatorilor;
- accesul la datele despre modificările din II trebuie să fie asigurat doar pentru persoanele abilitate;
- toate înregistrările despre modificările realizate trebuie să fie supuse periodic auditării.
Procesul de management al modificărilor trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
5) Cerinţe securităţii informaţiei privind asigurarea continuităţii
Continuitatea componentelor II reflectă capacitatea autorităţilor administraţiei publice de a readuce procesele interne şi sistemele în starea lor normală de funcţionare în caz de survenire a unor situaţii excepţionale.
Pentru a asigura securitatea informaţiei asigurarea continuităţii componentelor II trebuie să asigure obiectivele următoare:
- contracararea efectelor întreruperilor în funcţionarea componentelor şi a consecinţelor negative cauzate de survenirea situaţiilor excepţionale;
- protecţia componentelor critice împotriva impactului cauzat de deranjamentele principale;
- restabilirea garantată şi în timp util a funcţionării componentelor pînă la un nivel acceptabil, în baza unei anumite consecutivităţi şi în termenele fixate, începînd din momentul întreruperii.
Necesitatea asigurării unei funcţionări continue a II a autorităţilor administraţiei publice implică necesitatea elaborării şi menţinerii în stare actuală a unei strategii de asigurare a continuităţii în funcţionarea II. Pentru a asigura continuitatea în funcţionarea componentelor II este necesar de menţinut trei niveluri de strategie:
- nivelul organizaţional – trebuie să determine direcţiile, documentarea politicii, structura pentru asigurarea continuităţii în funcţionarea componentelor critice ale II;
- nivelul procesual – trebuie să asigure elaborarea strategiei de restabilire a resurselor pentru fiecare componentă critică;
- nivelul restabilirii componentelor – trebuie să asigure un nivel prestabilit de resurse necesare pentru implementarea strategiilor precedente.
Faţă de strategia de asigurare a continuităţii în funcţionarea II sînt înaintate următoarele cerinţe:
- trebuie luate în consideraţie riscurile de stopare a proceselor interne ale autorităţilor administraţiei publice;
- trebuie elaborat, actualizat şi testat un plan de acţiuni menit să restabilească capacitatea de lucru a componentelor II după survenirea situaţiilor excepţionale;
- trebuie asigurată disponibilitatea unui centru de rezervă pentru restabilirea componentelor II;
- trebuie efectuată instruirea periodică a personalului pe probleme ce ţin de asigurarea continuităţii în funcţionarea componentelor II.
Asigurarea continuităţii în funcţionarea II trebuie să includă următoarele procese:
- determinarea proceselor interne de bază – trebuie identificate procesele interne de bază ale autorităţilor administraţiei publice, a căror dereglare poate afecta activitatea acestora;
- inventarierea resurselor informaţionale – trebuie efectuată inventarierea completă a tuturor componentelor II, determinarea celor mai critice componente pentru activitatea autorităţilor administraţiei publice, precum şi clasificarea acestor componente şi stabilirea priorităţilor;
- înţelegerea riscurilor – pentru toate componentele critice ale II trebuie identificate riscurile potenţiale şi eventualele puncte vulnerabile ale realizării acestora în vederea planificării restabilirii componentelor în caz de survenire a situaţiilor excepţionale;
- analiza impactului asupra afacerilor – trebuie evaluat impactul negativ cauzat de dereglarea funcţionării II asupra proceselor interne ale autorităţilor administraţiei publice, ţinîndu-se cont de cerinţele confidenţialităţii, integrităţii şi accesibilităţii. Analiza trebuie efectuată cel puţin o dată în an sau în cazul producerii unor modificări esenţiale în cadrul autorităţilor administraţiei publice;
- strategia de restabilire după situaţiile excepţionale - trebuie stabilite acţiunile în condiţii de avariere şi situaţiile excepţionale, determinate procesele de notificare despre accidente şi de anunţare a acestora, a proceselor de restabilire a componentelor II;
- documentarea planurilor de asigurare a continuităţii în funcţionarea II – trebuie elaborate planurile de restabilire a componentelor II după accidente, care urmează să fie reînnoite periodic, cel puţin o dată în an;
- testarea planurilor de continuitate a activităţii – trebuie efectuată identificarea punctelor slabe în cadrul II care au fost omise. Testarea completă a planurilor de asigurare a continuităţii în funcţionarea II trebuie să fie efectuată cel puţin o dată în an;
- programele de instruire şi informare – trebuie efectuată instruirea colaboratorilor din cadrul autorităţilor administraţiei publice în privinţa acţiunilor pe care aceştia urmează să le întreprindă în condiţii de situaţii excepţionale;
- implementarea planurilor de asigurare a continuităţii II - trebuie asigurată îndeplinirea eficientă a acţiunilor în caz de restabilire sau întrerupere a funcţionării componentelor II.
Procesul eficient de asigurare a continuităţii în funcţionarea componentelor II minimizează posibilitatea şi impactul întreruperii funcţionării lor asupra proceselor-business esenţiale şi critice ale autorităţilor administraţiei publice.
Procesul de management al continuităţii trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
6) Cerinţe securităţii informaţiei privind auditul şi evaluarea conformităţii
a) Cerinţe securităţii informaţiei privind auditul
Auditul securităţii informaţiei II reprezintă un proces sistemic de obţinere şi evaluare a datelor obiective despre starea curentă a componentelor infrastructurii din perspectiva securităţii informaţiei, despre acţiunile şi evenimentele ce se produc în cadrul infrastructurii. Acest proces trebuie să determine gradul de corespundere a datelor menţionate cu un anumit nivel de securitate.
Realizarea auditului şi asigurării conformităţii securităţii trebuie să asigure atingerea obiectivelor următoare:
- obţinerea unei evaluări cît mai complete şi mai obiective a protecţiei componentelor II;
- evitarea încălcării obligaţiunilor prevăzute în legislaţie, statute, acte normative sau contracte şi a cerinţelor de asigurare a securităţii informaţiei;
- localizarea problemelor curente şi elaborarea unui sistem eficient de asigurare a securităţii informaţiei pentru toate componentele II a autorităţilor administraţiei publice.
Pentru a asigura securitatea informaţiei cerinţele privind auditul componentelor II includ următoarele:
- auditul intern trebuie efectuat în fiecare an şi sub supravegherea administratorului în securitate pentru stabilirea conformităţii autorităţilor administraţiei publice cu cerinţele esenţiale;
- în procesul de efectuare a auditului trebuie să se examineze acţiunile reuşite şi eşuate legate de:
a) înregistrarea în sistem;
b) managementul înregistrărilor de evidenţă;
c) accesul la serviciul de directori;
d) accesul la obiecte;
e) utilizarea privilegiilor;
f) utilizarea proceselor şi evenimentelor de sistem;
- trebuie să fie elaborate ghiduri pentru programele de audit în vederea acordării de asistenţă în procesul de efectuare a auditului;
- fiecare subdiviziune structurală a autorităţilor administraţiei publice, în special centrele de prelucrare a datelor, trebuie să efectueze un audit separat care să includă: verificarea repetată a rapoartelor privind activitatea, verificarea utilizatorilor şi a listelor de înregistrări de evidenţă, precum şi inventarierea echipamentului şi a resurselor;
- pe lîngă auditele interne, trebuie efectuate trei tipuri de verificări repetate a securităţii operaţiilor şi procedurilor autorităţilor administraţiei publice:
a) verificarea repetată a operării cu mijloacele criptografice de protecţie a informaţiei – se efectuează o singură dată şi în baza ei se confirmă respectarea cerinţelor de securitate;
b) verificarea repetată a procedurilor – se efectuează periodic şi în baza ei ce confirmă respectarea tuturor cerinţelor de securitate;
c) auditul periodic – în baza lui se confirmă gradul de conformitate cu standardele naţionale în domeniul de asigurare a securităţii informaţiei;
- informaţia obţinută în rezultatul efectuării primelor două controale trebuie să fie utilizată în procesul de efectuare a auditului;
- pe lîngă auditul intern, auditul extern trebuie efectuat cel puţin o dată în patru ani;
- la efectuarea auditului extern este necesar de a dispune de acorduri de confidenţialitate încheiate cu persoana terţă care efectuează auditul şi cu colaboratorii organizaţiei acesteia.
- este necesar de aplicat următoarele criterii ale auditului:
a) eficienţa – actualitatea informaţiei, procesului intern respectiv din cadrul autorităţii administraţiei publice, garanţia recepţionării la timp şi în mod regulat a unei informaţii corecte;
b) productivitatea – asigurarea accesibilităţii informaţiei prin utilizarea optimă a resurselor;
c) confidenţialitatea – asigurarea protecţiei informaţiei împotriva unei interceptări neautorizate;
d) integritatea – exactitatea, plenitudinea şi autenticitatea informaţiei în corespundere cu cerinţele interne din cadrul autorităţilor administraţiei publice;
e) utilitatea – furnizarea informaţiei la cererea proceselor interne din cadrul autorităţilor administraţiei publice;
f) conformitatea – corespunderea cu legislaţia, normele şi obligaţiile contractuale;
g) siguranţa – accesul la informaţia corespunzătoare pentru activitatea curentă, pentru generarea rapoartelor financiare şi evaluarea gradului de conformitate.
În procesul de efectuare a auditului, faţă de organizaţia terţă care efectuează auditul extern urmează să fie înaintate următoarele cerinţe:
- organizaţia trebuie să fie înregistrată, să deţină licenţe şi să fie recunoscută pe plan internaţional;
- calificarea trebuie să fie confirmată prin certificatele auditorilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA);
- trebuie prezentată dovada experienţei de muncă de cel puţin doi ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- auditorii trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al protecţiei criptografice a cheilor publice.
Cerinţele privind etapele de efectuare a auditului includ următoarele:
- pînă la efectuarea auditului, organizaţia trebuie să efectueze analiza riscurilor, iar intervalul dintre auditul curent şi auditul precedent trebuie să fie în limita unui an;
- planificarea:
a) auditorii trebuie să stabilească relaţii cu organizaţia şi să determine obiectivele auditului;
b) auditul trebuie să cuprindă: procedurile de verificare a identităţii utilizatorilor, securitatea software-ului şi accesului la reţea, registrele de evenimente şi procesele de monitorizare a sistemului, arhivarea şi restabilirea datelor, înregistrările privind modificarea parametrilor configuraţiei componentelor II şi înregistrările privind analizele şi verificările aplicaţiilor de program şi dispozitivelor tehnice;
- auditorii trebuie să dezvolte o înţelegere, care să fie suficientă pentru realizarea metodelor corespunzătoare de control pentru satisfacerea cerinţelor;
- verificarea tehnologiilor informaţiei:
a) auditorii trebuie să stabilească priorităţile de bază ale riscurilor pentru zonele semnificative;
b) auditorii trebuie să determine gradul de corespundere a controalelor cu cerinţele stabilite;
c) controalele de audit trebuie să fie efectuate conform regulilor stabilite de legislaţia în vigoare şi reglementările interne ale autorităţilor administraţiei publice;
- coordonarea/semnarea/emiterea:
a) la etapa raportării, auditorii trebuie să pregătească raportul de audit independent al securităţii;
b) în raportul de audit al securităţii trebuie să fie reflectate în mod obligatoriu: evaluarea calităţii şi continuităţii în activitate, conformitatea activităţii autorităţilor administraţiei publice cu cerinţele politicii de securitate, suficienţa măsurilor de asigurare a securităţii informaţiei a componentelor II, analiza funcţiilor de management al riscurilor, respectarea cerinţelor de asigurare a continuităţii în activitate şi conformitatea complexului tehnic de program cu cerinţele înaintate;
c) înainte de a transmite raportul de audit, persoana corespunzătoare trebuie să semneze un acord de confidenţialitate;
d) este necesar de prezentat raportul în formatul care păstrează integritatea documentului, de exemplu: formatul PDF cu parolă;
e) toate copiile raportului de audit trebuie să fie numerotate, iar în raport urmează să fie introdusă următoarea menţiune: „Copia nr. a fost eliberată în baza acordului de confidenţialitate. Această copie nu poate fi transmisă”.
b) Cerinţe privind evaluarea conformităţii
Evaluarea conformităţii securităţii informaţiei II trebuie să ofere siguranţa în conformitatea componentelor II cu cerinţele stabilite ale securităţii informaţiei. Evaluarea conformităţii trebuie efectuată periodic, cel puţin o dată în an, precum şi în caz de modificări substanţiale în componentele II şi în caz de pericole de securitate.
În rezultatul efectuării cu succes a evaluării conformităţii de către autorităţile abilitate să exercite controlul de stat asupra respectării cerinţelor de securitate a tehnologiilor informaţiei, printre care este Agenţia Naţională pentru Reglementare în Comunicaţii Electronice şi Tehnologia Informaţiei (ANRCETI) trebuie să fie eliberat un certificat de conformitate.
Pentru a asigura securitatea informaţiei II în procesul de evaluare a conformităţii este necesar de evaluat:
- corespunderea măsurilor şi mijloacelor de asigurare a securităţii informaţiei cu cerinţele securităţii informaţiei stabilite de legislaţia în vigoare;
- corectitudinea aplicării măsurilor şi mijloacelor de asigurare a securităţii informaţiei;
- corectitudinea acţiunilor de lichidare a consecinţelor incidentelor de încălcare a securităţii şi de neutralizare a vulnerabilităţilor.
Pentru a obţine date despre starea securităţii informaţiei a componentelor II este necesar de îndeplinit o serie de acţiuni după cum urmează:
- trebuie să fie efectuată analiza eficienţei măsurilor şi mijloacelor de asigurare a securităţii informaţiei pentru a contracara incidentele produse de încălcare a securităţii;
- trebuie să fie efectuate verificarea şi testarea măsurilor şi mijloacelor de asigurare a securităţii informaţiei în materie de conformitate cu cerinţele securităţii;
- trebuie să fie efectuată testarea în materie de pătrundere în vederea evaluării posibilităţii de utilizare a vulnerabilităţilor în scopul încălcării securităţii;
- trebuie să fie utilizate mijloacele hardware şi software specializate pentru efectuarea controlului stării mijloacelor de asigurare a securităţii informaţiei şi identificarea vulnerabilităţilor.
În cazul depistării încălcării asigurării securităţii informaţiei II ANRCETI aplică sancţiuni administrative în modul stabilit de lege şi emite o decizie privind încetarea încălcării şi/sau luarea unor măsuri de remediere a consecinţelor ei.
Cerinţele înaintate către organele autorizate care efectuează controlul de stat al conformităţii cerinţelor de securitate a informaţiei a componentelor II, sînt următoarele:
- calificarea trebuie să fie confirmată prin certificatele specialiştilor în domeniul sistemelor informaţionale şi asigurării securităţii (certificate internaţionale CISM şi CISA) care efectuează controlul;
- trebuie prezentată dovada experienţei de muncă de cel puţin trei ani în domeniul tehnologiilor şi echipamentului de securitate a informaţiei, al sistemelor de audit al securităţii şi sistemelor de management al protecţiei criptografice;
- specialiştii organismelor autorizate trebuie să posede abilităţi de utilizare a procedurilor de auditare a sistemelor de management al securităţii informaţiei şi protecţiei criptografice a cheilor publice.
7. Cerinţe securităţii informaţiei către procesele de management a infrastructurii informaţionale în cadrul abordării procesuale
Cerinţele către asigurarea securităţii informaţiei II trebuie determinate pentru toate procesele de management al componentelor II:
- planificarea şi elaborarea – determinarea cerinţelor privind asigurarea securităţii informaţiei la crearea şi/sau perfecţionarea componentelor inofensive ale II;
- implementarea – executarea componentelor II în conformitate cu planurile şi cerinţele prevăzute în actele normative şi legislative, precum şi testarea cerinţelor privind asigurarea securităţii informaţiei la implementarea şi punerea în funcţiune a componentelor II;
- evaluarea – recepţionarea unor date sistematizate şi autentice aferente stării componentelor II în baza analizei şi controlului conformităţii cerinţelor securităţii informaţiei;
- deservirea – munca cotidiană cu componentele II privind menţinerea funcţionării eficiente a acestora cu respectarea criteriilor de securitate a informaţiei, prin intermediul urmăririi incidentelor şi a problemelor legate de securitatea informaţiei.
1) Cerinţe către asigurarea securităţii informaţiei la planificarea şi dezvoltarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de planificare şi dezvoltare a componentelor II, şi de asemenea elaborarea strategiilor şi planurilor de acţiuni aferente implementării componentelor II .
La planificarea şi dezvoltarea componentelor II trebuie elaborate următoarele documente:
- arhitectura componentelor II, diagramele schematice şi topologia;
- strategiile şi planurile de măsuri de implementare a componentelor II care trebuie să includă cel puţin:
a) justificarea necesităţii de a implementa componentele;
b) calcularea bugetului de cheltuieli şi justificarea caracterului rezonabil al cheltuielilor;
c) descrierea tehnologiilor aplicate (de ex.: maşini universale mainframe, sisteme distribuite, reţele şi dispozitive mobile) şi a compatibilităţii acestora cu componentele existente ale II;
d) documentarea arhitecturii şi structurii II;
e) documentarea proceselor şi procedurii de management al II;
- strategia de asigurare a securităţii informaţiei pentru toate componentele II – stabileşte concepţia de asigurare a securităţii informaţiei II a autorităţilor administraţiei publice;
- politica de asigurare a securităţii informaţiei pentru fiecare componentă a II care trebuie să includă cel puţin:
a) determinarea securităţii, scopurilor şi sferei sale de acţiune, precum şi dezvăluirea importanţei securităţii în calitate de instrument de asigurare a posibilităţii de utilizare în comun a informaţiei;
b) specificarea scopurilor şi principiilor securităţii formulate de conducere;
c) specificarea succintă a celor mai importante politici de securitate a informaţiei, principii, reguli şi cerinţe;
d) determinarea obligaţiilor generale şi concrete ale colaboratorilor în cadrul managementului securităţii informaţiei;
e) referinţe la mai detaliate politici şi proceduri de securitate care suplimentează politica de securitate a informaţiei;
- planul de asigurare a securităţii informaţiei pentru fiecare componentă a II care trebuie să includă cel puţin:
a) acţiunile detaliate pentru realizarea obiectivelor de asigurare a securităţii informaţiei;
b) acţiunile detaliate pentru implementarea complexului hardware şi software;
c) procedurile de perfecţionare a procesului de asigurare a securităţii informaţiei;
d) procedurile de efectuare a instructajelor şi seminarelor de instruire a personalului;
e) procedurile de majorare a competenţei personalului.
Documentaţia elaborată în cadrul şi în timpul acestui proces, trebuie să corespundă următoarelor cerinţe:
- trebuie să fie coordonată cu cerinţele legislaţiei şi activităţii autorităţilor administraţiei publice şi cu cerinţele de securitate a informaţiei privind componentele II;
- trebuie să corespundă obiectivelor de muncă şi evaluare stabilite a componentelor II;
- trebuie să se bazeze pe sistemele de informaţii existente şi componentele II;
- trebuie utilizată pentru coordonarea, planificarea şi gestionarea tuturor componentelor II;
- trebuie descrise riscurile cheie, a căror minimizare este necesară;
- trebuie asigurată orientarea şi motivarea colaboratorilor ce operează cu componentele II;
- trebuie aprobată de către persoanele autorizate.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile la planificarea şi dezvoltarea componentelor II, care trebuie identificate în mod obligatoriu şi în privinţa cărora este necesar de acţionat în vederea reducerii lor includ:
- resursele financiare, tehnice, umane inadecvate, bugetul şi perioada de timp planificate pentru componentă;
- utilizarea ineficientă a resurselor, cheltuieli şi investiţii exagerate;
- personalul cu pregătire şi experienţă insuficiente;
- absenţa interacţiunii între persoanele responsabile de managementul componentelor a II şi conducerea subdiviziunilor autorităţilor administraţiei publice;
- restricţiile privind aplicarea tehnologiilor, sistemelor şi reţelelor vechi;
- deficitul de mijloace instrumentale, standarde şi experienţă pentru documentarea, justificarea şi analiza compatibilităţii componentelor în procesul de integrare;
- absenţa informaţiilor pentru monitorizare, control şi evaluare.
c) Cerinţe către activităţile de planificare şi dezvoltare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru a asigura securitatea informaţiei a componentelor II în cadrul procesului de planificare şi proiectare a componentelor II trebuie realizată următoarea listă de activităţi:
- verificarea corespunderii dintre planificarea componentelor II şi planurilor anuale cu sarcinile unei autorităţi a administraţiei publice concrete, precum şi cu rezultatele reale în privinţa realizării planurilor şi sarcinilor;
- verificarea compatibilităţii şi posibilităţii integrării componentei noi cu componentele existente ale II, ţinîndu-se cont de procesele de management şi de arhitectura fiecărei componente;
- determinarea tipului de elaborare a componentei noi II:
a) elaborare funcţională – trebuie format setul de specificaţii funcţionale ale cerinţelor şi criteriilor privind componentul;
b) elaborare tehnică – trebuie determinaţi parametrii tehnici ai componentei noi în II curentă (de exemplu: utilizarea protocolului de reţea, configuraţiile sistemului, versiunile, platforma);
- analiza stării curente a componentei - trebuie efectuată analiza proceselor şi procedurilor de management pentru fiecare componentă a II şi analiza arhitecturii şi structurii tuturor componentelor II;
- determinarea stării necesare a componentei – trebuie elaborate specificaţiile şi cerinţele pentru starea dorită a componentei;
- elaborarea planului de trecere la situaţia necesară;
- analiza posibilităţilor de apariţie a noilor riscuri a securităţii informaţiei legate de implementarea componentei noi;
- executarea proceselor de asigurare a securităţii informaţiei a componentelor II în regim 24*7;
- planificarea utilizării eficiente a resurselor umane, a proceselor şi a tehnologiilor în vederea asigurării securităţii informaţiei a componentelor II;
- realizarea evaluării următoarelor aspecte:
a) avantajele implementării componentei noi II;
b) condiţiile şi cerinţele funcţionale şi tehnice componentei noi II;
c) costul modificării componentei II;
d) caracterul stabil al funcţionării componentei noi II şi durata preconizată a ciclului său de viaţă;
e) analiza şi managementul riscurilor legate de implementarea componentei noi II;
f) gradul de influenţă al componentei noi asupra structurii generale a II şi asupra activităţii autorităţii administraţiei publice;
g) costul planificat aferent instalării, testării, implementării şi mentenanţei componentei noi II;
h) valoarea soluţiei inovatoare la selectarea unei noi componente;
i) gradul de incompatibilitate a componentei noi cu componentele curente ale II;
j) necesitatea de a se asigura continuitatea funcţionării componentelor;
k) dependenţa de furnizori, asociaţi;
l) raportul dintre preţ şi calitate;
m) necesitatea de a se asigura integritatea componentelor II;
n) necesitatea de lucrări de întreţinere şi siguranţă.
2) Cerinţe către asigurarea securităţii informaţiei la implementarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de implementare a componentelor II, şi de asemenea elaborate planurile de acţiuni aferente implementării componentelor II .
Pentru implementarea componentelor II trebuie elaborate următoarele documente:
- planul de dislocare a componentelor II, care trebuie să includă cel puţin:
a) descrierea componentelor;
b) termenii;
c) acţiunile întreprinse privind implementarea componentelor;
d) resursele necesare pentru implementarea fiecărui component a II;
e) peroanele responsabile;
- planul de integrare a componentelor II, care trebuie să includă cel puţin următoarele niveluri de integrare:
a) integrarea evenimentelor (sistemele de schimbare cu mesaje) – capacitatea de a face schimb de informaţii între componentele II;
b) integrarea datelor - capacitatea de a distribui un set comun de date diferitor componente ale II;
c) integrarea funcţională - capacitatea componentelor II de a interacţiona şi a coordona comportamentul lor funcţional una cu alta.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile la implementarea componentelor II care trebuie identificate în mod obligatoriu şi în privinţa cărora este necesar de acţionat în vederea reducerii lor sînt următoarele:
- abatere de la indicatorii planificaţi de timp şi utilizare a resurselor;
- competenţa şi experienţa insuficientă a personalului;
- planificarea neadecvată, care implică nerespectarea termenului planificat pentru executarea lucrărilor;
- absenţa interacţiunii între persoanele responsabile de implementarea componentelor II şi conducerea subdiviziunilor autorităţilor administraţiei publice;
- mijloace instrumentale necorespunzătoare sau instruirea neadecvată privind utilizarea eficientă a acestora;
- insuficienţa activităţii de control asupra procesului de implementare a componentelor II.
c) Cerinţe către activităţile de implementare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru asigurarea securităţii informaţiei în procesul de implementare a componentelor II trebuie îndeplinit următorul set de acţiuni:
- iniţierea şi aprobarea planurilor de instalare a componentelor şi resurselor necesare în acest scop;
- executarea planurilor adoptate privind instalarea componentelor în conformitate cu principiile de bază şi normele autorităţii publice respective;
- analiza riscurilor care pot apărea pe parcursul implementării componentelor II;
- efectuarea testării de bloc, funcţionale, nefuncţionale, de sarcină, integraţionale, de sistem şi de recepţie, precum şi a testării securităţii componentei noi şi înregistrarea rezultatelor obţinute, a erorilor şi a cauzelor survenirii acestora;
- în caz de testare cu succes, aprobarea disponibilităţii componentei pentru integrarea cu componentele existente ale II;
- integrarea componentelor II, asigurînd un sistem unic de integrare a organismelor autorităţii publice;
- determinarea controalelor de securitate, după implementarea noilor componente ale infrastructurii;
- analiza nivelului de corespundere a caracteristicilor funcţionale şi tehnice ale componentei cu cerinţele de activitate ale autorităţii administraţiei publice respective;
- asigurarea protecţiei a informaţiei obţinute în procesul de implementare a componentelor de II;
- asigurarea confidenţialităţii şi integrităţii datelor aflate în sau transmise cu ajutorul componentelor II;
- efectuarea controlului versiunilor componentelor II;
- informarea utilizatorilor în privinţa aspectelor de securitate a componentelor II.
3) Cerinţe către asigurarea securităţii informaţiei la evaluarea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politicile şi procedurile care reglementează şi determină procesul de evaluare a componentelor II.
Pentru evaluarea componentelor II trebuie elaborat planul de evaluare a componentelor II care să includă minim:
- procedurile de evaluare pentru toate componentele critice ale II;
- procedurile de evaluare la toate etapele ciclului de viaţă al componentelor II;
- diapazonul de evaluare a componentelor II;
- nivelul necesar de detaliere a evaluării componentelor II desfăşurate;
- resursele necesare pentru evaluarea componentelor II.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscuri aferente evaluării componentelor II, care trebuie neapărat identificate şi pentru care trebuie luate măsuri în vederea reducerii, includ:
- abaterea de la indicatorii planificaţi de timp si utilizare a resurselor;
- obiective şi acţiuni incorecte aferente procesului de planificare şi implementare a componentelor II;
- controlul insuficient al indicatorilor procesului de planificare şi implementare a componentelor II.
c) Cerinţe către activităţile de evaluare a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru a asigura securitatea informaţiei II în procesul de evaluare a componentelor II trebuie realizată următoarea listă de activităţi:
- evaluarea rezultatelor şi a dinamicii de funcţionare a componentelor II din punct de vedere a respectării criteriilor de securitate a informaţiei;
- evaluarea nivelului de maturitate pentru fiecare componentă a II;
- evaluarea eficienţei realizării planurilor de implementare pentru toate componentele II;
- generarea rapoartelor aferente erorilor identificate, problemelor şi eventualului impact asupra componentelor II din realizarea ameninţărilor la adresa securităţii informaţiei;
- pregătirea recomandărilor privind modernizarea II;
- controlul următorilor parametri ai mijloacelor de control a securităţii informaţiei:
a) parametrii aferenţi serviciilor de securitate:
- disponibilitatea mijloacelor de protocol şi de audit pentru componente critice ale II;
- nivelul şi gradul de eficacitate a mecanismelor de identificare şi autentificare;
- aplicarea tehnologiilor ce asigură comunicarea în formă «expeditor-receptor»;
- disponibilitatea mijloacelor de protecţie a datelor utilizatorilor;
b) parametri aferenţi infrastructurii:
- disponibilitatea mijloacelor de protecţie criptografică a informaţiei;
- aplicarea măsurilor de management al securităţii;
- disponibilitatea mijloacelor care delimitează accesul la obiectele importante;
c) parametrii asociaţi cu trecerea obligatorie a tuturor etapelor ciclului de viaţă al componentelor II:
- proiectarea şi elaborarea componentelor II;
- gestionarea configuraţiilor componentelor II;
- testarea componentelor II luînd în considerare evaluarea vulnerabilităţilor;
- livrarea şi exploatarea componentelor II;
- controlul indicatorilor de performanţă şi de calitate:
a) indicatorii executării – determină caracteristicile executării lucrărilor de instalare a componentelor II prin coroborarea cheltuielilor planificate cu cele efectiv suportate în vederea realizării scopurilor fixate;
b) indicatorii calităţii – evaluează gradul de acceptabilitate a componentei pentru întreaga II în vederea realizări obiectivelor şi funcţiilor acesteia.
În rezultatul evaluării componentelor II trebuie recepţionate date sistematizate şi autentice despre starea II, care sînt necesare pentru adoptarea deciziilor şi pentru managementul operativ al componentelor II.
4) Cerinţe către asigurarea securităţii informaţiei la deservirea componentelor infrastructurii informaţionale
a) Cerinţe către reglementare şi documentare
Pentru a asigura securitatea informaţiei trebuie elaborate politici şi proceduri de reglementare, care să determine procesul de deservire a componentelor II.
Pentru a asigura securitatea informaţiei în procesul de deservire a componentelor II trebuie să fie elaborate:
- planul de deservire a componentelor II, care să includă minimum:
a) tipurile deservirii realizate;
b) succesiunea de elaborare a documentaţiei aferente utilizării componentelor II;
c) lucrările organizaţionale şi lucrările de deservire;
d) resursele;
e) nivelul necesar de calificare a personalului deservirii;
f) organizarea serviciului de asistenţă a clienţilor;
g) raportarea;
- planul de acţiune în vederea restabilirii funcţionării componentelor II după producerea situaţiilor excepţionale, care trebuie să includă:
a) acţiuni de prevenire a incidentelor;
b) acţiuni în caz de producere a incidentelor;
c) acţiuni de lichidare a consecinţelor incidentelor şi de restabilire a capacităţii de lucru a II.
b) Cerinţe către riscurile tehnologiilor informaţionale
Riscurile eferente deservirii componentelor II, care urmează a fi identificate în mod obligatoriu şi în privinţa cărora trebuie luate măsuri privind minimizarea lor, sînt următoarele:
- gradul insuficient de accesibilitate a resurselor necesare pentru deservirea componentelor şi utilizarea ineficientă a acestora;
- utilizarea ineficientă a resurselor, ceea ce implică cheltuieli sporite legate de deservirea II;
- gradul de calificare şi experienţa insuficientă a personalului de deservire;
- lipsa informaţiei pentru monitorizare, control şi evaluare.
c) Cerinţe către activităţile de deservire a componentelor infrastructurii informaţionale pentru asigurarea securităţii informaţiei
Pentru asigurarea securităţii informaţiei a componentelor II în cadrul deservirii componentelor II trebuie întreprinse următoarele acţiuni:
- coordonarea şi aprobarea sarcinilor privind deservirea de către persoanele responsabile din cadrul autorităţilor administraţiei publice;
- în contextul gestionării tuturor evenimentelor legate de II:
a) monitorizarea şi identificarea evenimentelor legate de situaţii şi condiţii necorespunzătoare ale componentelor II;
b) ţinerea registrelor de evenimente legate de componentele II;
c) prelucrarea, escaladarea şi rezolvarea evenimentelor identificate;
d) raportarea privind evenimentele întregii infrastructuri;
- în contextul controlului operaţional şi managementului configuraţiilor componentelor II:
a) instalarea unei componente noi sau modificate în cadrul II;
b) demontarea componentei vechi sau uzate;
c) repartizarea configuraţiilor ajustate sau noi ale componentelor II;
d) instalarea parametrilor şi indicilor operaţionali ai componentelor II conform standardelor şi cerinţelor corespunzătoare;
- în contextul acţiunilor privind gestionarea păstrării, copierii de rezervă şi restabilirii componentelor II:
a) păstrarea şi repartizarea componentelor II;
b) aplicarea sistemului de copiere de rezervă şi de restabilire;
- monitorizarea şi controlul evenimentelor aferente tuturor componentelor II;
- efectuarea controlului şi monitorizării nivelului de securitate a componentelor II;
- efectuarea controlului şi managementului accesului la resursele informaţionale, precum şi la componentele II;
- controlul parametrilor de deservire, inclusiv:
a) stabilitatea şi fiabilitatea componentelor II;
b) documentaţia ce conţine date privind deservirea componentelor;
c) înregistrarea sau baza de date a tuturor evenimentelor de deservire, alarmelor şi semnalelor.
8. Cerinţe către asigurarea securităţii informaţiei a infrastructurii informaţionale în cadrul abordării sistemice
1)Cerinţe privind mijloacele hardware
Pentru a asigura securitatea informaţiei a mijloacelor hardware II sînt înaintate următoarele cerinţe obligatorii:
- trebuie utilizate doar mijloacele hardware care au fost supuse certificării corespunzătoare;
- trebuie efectuată verificarea mijloacelor hardware în materie de posibilităţi funcţionale negative;
- mijloacele hardware trebuie să corespundă cerinţelor privind protecţia resurselor informaţionale împotriva scurgerilor prin canale tehnice;
- mijloacele hardware trebuie să asigure posibilitatea de identificare şi autentificare a subiecţilor care le accesează, de management al accesului şi de efectuare a auditului evenimentelor de securitate legate de utilizarea acestor mijloace;
- mijloacele hardware care asigură securitatea informaţiei nu trebuie să permită modificarea sau denaturarea algoritmului de lucru al mijloacelor tehnice;
- mijloacele hardware trebuie să fie protejate împotriva acţiunilor din partea reţelelor externe de transfer de date;
- trebuie efectuat controlul permanent al integrităţii mijloacelor hardware;
- trebuie asigurată disponibilitatea mijloacelor hardware de rezervă;
- trebuie înregistrată şi ţinută evidenţa utilizării mijloacelor hardware;
- la conectarea unui mijloc hardware nou:
a) trebuie înregistrat echipamentul nou conectat;
b) echipamentul trebuie să fie atribuit în sarcina unui colaborator, care îşi va asuma răspunderea pentru exploatarea acestuia;
c) persoana responsabilă este obligată să înştiinţeze persoana abilitată despre deplasarea echipamentului într-o altă încăpere, modificarea componenţei, transmiterea pentru reparaţie, transferul de responsabilitate privind echipamentul către o altă persoană.
Pentru a asigura securitatea informaţiei a II, cerinţele privind serverele trebuie să includă următoarele:
- serverele şi echipamentul de telecomunicaţii trebuie să fie amplasate într-o încăpere specială sigură;
- serverele trebuie să se afle permanent în regim de depistare manuală sau electronică a accesului neautorizat;
- trebuie instalate doar serviciile şi aplicaţiile necesare;
- trebuie stabilite cerinţe stricte privind accesul pentru executarea diverselor operaţii, în particular pentru modificarea conţinutului şi configuraţiei serverelor;
- este necesar de utilizat canale protejate pentru transmiterea resurselor informaţionale critice;
- trebuie gestionat accesul la datele de pe server şi de asigurat integritatea şi autenticitatea datelor;
- este necesar de aplicat matrice de acces la conţinutul serverului care să determine mapele şi fişierele de pe directoriul serverului care au restricţii de acces;
- trebuie criptat traficul de management la distanţă al serverelor;
- trebuie utilizate mecanisme de autentificare a utilizatorilor serverelor, inclusiv semnături digitale şi alte mecanisme criptografice;
- trebuie utilizate sisteme de identificare a atacurilor pe bază de host şi/sau de verificare a integrităţii fişierelor;
- trebuie asigurată o protecţie permanentă a serverelor împotriva viruşilor şi codului maliţios;
- trebuie ţinută evidenţa protocoalelor tuturor evenimentelor şi acţiunilor utilizatorilor, precum şi ale activităţii serverelor în vederea identificării interferenţelor şi a tentativelor de interferenţă;
- trebuie efectuat controlul integrităţii software-ului şi a configuraţiilor serverelor;
- trebuie efectuată monitorizarea fiecărei activităţi suspecte pe servere (de exemplu: activitatea pe timp de noapte, încercări numeroase de autorizare);
- trebuie asigurată replicarea serverelor critice şi arhivarea celor mai critice active informaţionale;
- trebuie aplicate proceduri de restabilire a serverelor;
- trebuie efectuată testarea periodică a securităţii serverelor.
Pentru a asigura securitatea informaţiei a II, cerinţele privind staţiile de lucru trebuie să includă următoarele:
- trebuie utilizate mecanisme de autentificare a utilizatorilor staţiilor de lucru;
- este necesar de delimitat accesul la resursele informaţionale ale staţiilor de lucru în conformitate cu cerinţele pentru îndeplinirea propriilor obligaţiuni;
- este necesar de delimitat drepturile de acces la efectuarea diverselor operaţii de către utilizatori în vederea preîntîmpinării acţiunilor neautorizate din partea colaboratorilor (de exemplu: imprimarea la imprimantă, copierea datelor prin intermediul clipboard-ului, exportul de date în formate locale);
- este necesar de aplicat canale protejate pentru transmiterea resurselor informaţionale critice;
- este necesar de asigurat protecţia permanentă a staţiilor de lucru împotriva viruşilor şi a codului maliţios;
- trebuie efectuat controlul periodic al integrităţii software-ului şi a configuraţiilor serverelor;
- este necesar de efectuat monitorizarea şi gestionarea mijloacelor hardware şi software ale staţiilor de lucru;
- este necesar de ţinut registre ale evenimentelor şi operaţiilor utilizatorilor legate de securitatea informaţiei;
- este necesar de asigurat arhivarea, criptarea datelor critice aflate în cadrul staţiilor de lucru;
- trebuie asigurată implementarea şi setarea în siguranţă a aplicaţiilor pentru staţiile de lucru;
- este necesar de asigurat securitatea fizică a staţiilor de lucru.
2) Cerinţe privind sistemele operaţionale
Pentru a asigura securitatea informaţiei a II este necesar de îndeplinit următoarele cerinţe privind sistemele operaţionale:
- fiecare utilizator trebuie să fie identificat prin înregistrarea unică de evidenţă şi prin parola de acces în sistem;
- trebuie aplicate mijloace de protecţie criptografică pentru păstrarea parolelor sistemelor operaţionale;
- în caz de accesarea la distanţă a sistemului operaţional, trebuie utilizate protocoale criptografice pentru a evita transmiterea parolei prin reţea în format deschis;
- accesul la staţia de lucru trebuie să fie acordat doar după autentificarea cu succes;
- sistemul trebuie să utilizeze matrice de acces în conformitatea cu nivelurile de protecţie a informaţiei;
- sistemul trebuie să asigure protocolarea şi urmărirea acţiunilor utilizatorilor;
- sistemul operaţional trebuie să protejeze obiectele împotriva utilizării repetate;
- administratorul de sistem trebuie să ţină evidenţa tuturor evenimentelor legate de securitatea sistemelor operaţionale;
- sistemul trebuie să menţină protecţia împotriva influenţei din exterior, cum este modificarea sistemei încărcate sau a fişierelor de sistem păstrate pe disc.
Pentru a asigura securitatea informaţiei a componentelor II este necesar de aplicat următoarele mijloace de protecţie ale sistemelor operaţionale:
- tehnologiile de securitate de bază:
a) mecanisme de identificare, autentificare, autorizare;
b) disponibilitatea canalelor protejate de transmitere a datelor;
c) mijloace criptografice de protecţie a informaţiei;
d) mijloace de audit şi monitorizare;
- tehnologiile de autentificare:
a) mijloace de autentificare de reţea în baza parolei de utilizare multiplă;
b) mijloace de autentificare prin utilizarea parolei de unică folosinţă;
c) mijloace de autentificare a informaţiei;
- mijloacele de restabilire şi de protecţie a sistemelor operaţionale împotriva defectelor:
a) mijloace de protecţie fişierelor de sistem operaţional;
b) disponibilitatea regimului sigur de încărcare a sistemului operaţional;
c) disponibilitatea consolei de restabilire;
d) disponibilitatea discului de restabilire în caz de avariere;
e) mijloace de copiere de rezervă şi restabilire.
3) Cerinţe privind bazele de date
Accesul la bazele de date reprezintă un aspect important în administrarea autorităţilor administraţiei publice, precum şi în executarea funcţiei de prelucrare, păstrare şi manipulare a informaţiei.
Dat fiind faptul că baza de date reprezintă o parte integrantă a II a autorităţilor administraţiei publice ce conţine informaţie critică preţioasă, este necesar de respectat cerinţele obligatorii privind bazele de date:
- trebuie asigurată securitatea arhitecturii şi structurii bazelor de date;
- trebuie efectuată monitorizarea acţiunilor tuturor utilizatorilor în cadrul serviciilor de baze de date;
- este interzisă păstrarea informaţiei bazelor de date în condiţii neprotejate;
- trebuie exclus accesul manual neautorizat la bazele de date;
- trebuie asigurată securitatea intrării în bazele de date;
- trebuie asigurată securitatea parolelor bazelor de date;
- trebuie asigurată fiabilitatea bazelor de date prin acordarea autorizaţiilor corespunzătoare şi a drepturilor de acces la obiecte şi resurse;
- trebuie efectuat controlul accesului la datele din bazele de date;
- trebuie efectuată copierea de rezervă şi restabilirea bazelor de date;
- trebuie asigurată securitatea conexiunilor prin reţea la bazele de date cu alte aplicaţii sau sisteme;
- trebuie efectuat auditul şi monitorizarea bazelor de date;
- trebuie asigurată securitatea fizică a bazelor de date.
4) Cerinţe privind reţeaua
Pentru asigurarea securităţii informaţiei a componentelor II este necesar de îndeplinit cerinţele generale privind reţelele:
- fiecare reţea trebuie să conţină propria sa infrastructură (router-e, switch-uri şi servere) şi să-şi execute propriile aplicaţii specifice;
- trebuie asigurată integritatea reţelelor şi a echipamentului de server;
- toate conexiunile administratorului, inclusiv accesul la distanţă, trebuie să corespundă cerinţelor de securitate sporite.
În procesul de creare a reţelelor locale urmează a fi utilizate următoarele echipamente şi tehnologii:
- switch-ul reglabil, care permite managementul configuraţiei reţelei locale;
- modem, care asigură navigarea utilizatorilor pe Internet;
- router-e, care asigură traficul între reţelele locale cu adrese de server diferite;
- server de autorizare a accesului care asigură organizarea accesului la resurse şi delimitarea accesului la propriile resurse şi la resursele din alte reţele.
Pentru a delimita accesul la reţeaua utilizatorilor este necesar de aplicat diverse metode de protecţie a reţelei:
- metodă bazată pe limitarea accesului fizic la reţea;
- metodă bazată pe transformarea semnalelor de pe linie într-un format care exclude recepţionarea sau denaturarea conţinutului transferului de către intrus (acces logic).
Pentru a limita accesul utilizatorilor la reţea este necesar de aplicat următoarele mijloace de limitare a accesului:
- limitarea accesului la nod – cu ajutorul mijloacelor de autentificare a utilizatorilor şi verificare a corectitudinii solicitărilor acestora trebuie să fie limitate solicitările de la staţiile de lucru la distanţă, trebuie să fie create listele de host-uri, care au autorizaţia de a se conecta la reţea;
- restricţii pentru redirecţionarea poştei – cu ajutorul fişierului în care trebuie să fie indicate nodurile care au permisiunea (interdicţia) de a utiliza serverul;
- limitarea accesului utilizatorilor la resurse – trebuie să fie utilizate fişiere, primul dintre care trebuie să reprezinte un tabel de acces al utilizatorilor, al doilea fişier trebuie să stabilească împuternicirile utilizatorilor privilegiaţi, iar al treilea fişier trebuie să includă restricţiile privind resursele stabilite pentru utilizator sau grupe de utilizatori.
5) Cerinţe privind infrastructura reţelei
Pentru a asigura securitatea informaţiei a componentelor II este necesar de a respecta următoarele cerinţe privind infrastructura reţelei autorităţilor administraţiei publice:
- trebuie efectuat controlul conectării la reţea între două staţii de lucru pentru a controla conformitatea conectării cu cerinţele şi obiectivele securităţii autorităţilor administraţiei publice;
- informaţia de acces limitat dezvăluită prin reţea trebuie protejată de intruşi cu ajutorul următoarelor mijloace de reţea:
a) firewall-uri – pentru delimitarea reţelelor locale şi globale;
b) router-e – pentru filtrarea traficului din reţea;
c) sisteme de prevenire a interferenţelor;
d) switch-uri – pentru prevenirea deteriorării pachetelor de date;
- trebuie asigurată criptarea întregii informaţii critice, transmise prin reţele, cu ajutorul mijloacelor de protecţie criptografică;
- trebuie asigurată disponibilitatea canalelor de comunicaţii alternative pentru readresarea datelor în caz de blocare a expedierii;
- trebuie delimitate reţelele conform obiectivelor şi funcţiilor îndeplinite în cadrul autorităţilor administraţiei publice.
6) Cerinţe privind mijloacele de reţea
Pentru a asigura securitatea informaţiei a II este necesar de utilizat următoarele mijloace de reţea:
a) switch-uri;
b) router-e;
c) firewall-uri.
a) Cerinţe privind switch-urile
Zonele de utilizare comună trebuie să fie protejate prin asigurarea securităţii configuraţiei switch-urilor, securităţii conectării la switch-uri, securităţii componentelor switch-urilor, securităţii sistemului de fişiere al switch-urilor, autorizării, mecanismelor de autentificare oferite, preciziei, procedurilor de restabilire.
Este necesar de îndeplinit următoarele cerinţe de securitate privind configuraţia switch-urilor:
- parola la încărcarea sistemului operaţional sau a programei urmează să fie instalată şi configurată astfel încît să fie cerută parola la încărcarea sistemului;
- autorizarea programului trebuie să fie configurată corect pentru a preveni destabilizarea sistemului de către utilizatori;
- în registrul de evidenţă a evenimentelor urmează să fie trecute următoarele înregistrări privind switch-urile:
a) despre utilizarea comenzilor privilegiate (de exemplu: accesul la un cont privilegiat, fişierele de audit sau fişierele de setare a sistemului);
b) despre lansarea şi închiderea switch-ului, a mijlocului de reţea;
c) despre testările eşuate în legătură cu datele şi schimbul;
d) despre crearea şi lichidarea utilizatorilor;
e) despre introducerea şi eliminarea datelor din arhivă;
f) despre modificarea profilurilor de securitate ale utilizatorilor, de management şi ale atributelor;
g) despre modificarea drepturilor privind controlul asupra accesului limitat.
Cerinţele privind prevenirea infectării sistemului de fişiere cu coduri maliţioase includ următoarele:
- toate fişierele executate de bază (Unix) sau de administrator (Windows) trebuie să aparţină înregistrării de evidenţă corespunzătoare şi nu pot fi utilizate la nivel general sau la nivel de grup;
- este necesar de asigurat integrabilitatea fişierelor utilizate la nivel general sau la nivel de grupă; în acest scop, este necesar de identificat toate fişierele din sistem care pot fi utilizate la nivel general şi de limitat accesul general;
- toate fişierele şi directoriile care pot fi citite la nivel general trebuie să se afle sub supravegherea administratorilor. Este interzisă prezenţa programelor utilizate la nivel general.
b) Cerinţe privind router-ele
Router-ele trebuie să realizeze controlul asupra traficului de reţea prin intermediul funcţiilor sale primare. Router-ele trebuie să exercite şi alte funcţii, cum ar fi filtrarea, determinînd tipul traficului autorizat în reţea şi direcţionînd pachetele conform destinaţiei.
Cerinţele de securitate privind router-ele includ:
- router-ele trebuie să susţină operaţiile de conectare ce se bazează pe parole sau pe alte metode de securitate;
- router-ul trebuie să asigure prima linie de protecţie prin sortarea anumitor tipuri de trafic cu ajutorul listei de control al accesului;
- accesul la router-e trebuie să fie permis doar personalului abilitat. În cazul în care router-ul are posibilitatea de a exercita controlul la distanţă, este necesar de dezactivat căile de acces la acestea;
- trebuie autorizată adresa de securitate pentru a preveni accesul la reţea de la staţii de lucru neautorizate;
- toate listele de control al accesului trebuie să fie configurate în modul corespunzător pentru a garanta securitatea informaţiei a II;
- trebuie asigurată integritatea fişierelor de configuraţie a router-elor, iar accesul la acestea urmează să fie permis doar personalului abilitat;
- trebuie instalată şi utilizată ultima versiune a sistemului operaţional a router-elor pentru funcţionalitatea actualizată, elementele de securitate şi ajustarea deficienţelor din software;
- trebuie configurate listele de acces pentru autorizarea doar a protocoalelor necesare pentru direcţia corespunzătoare. Sortarea protocoalelor nedorite trebuie să limiteze accesul la reţelele organizaţiilor;
- trebuie realizată procedura de management, de schimbare a parolelor, de modificare a listei de acces (în caz de necesitate) pentru adăugarea/modificarea/eliminarea protocoalelor sau a regulilor de setare;
- trebuie aplicate metode de autentificare pentru router-e, accesul la care urmează să fie permis doar personalului abilitat;
- trebuie schimbate parolele atunci cînd au loc schimbări în componenţa personalului, precum şi după expirarea unei anumite perioade de timp.
c) Cerinţe privind firewall-urile
Pentru asigurarea nuvelului necesar constant al securităţii informaţiei trebuie utilizate firewall-urile. Firewall-urile în îmbinare cu router-ele trebuie să asigure o restricţionare majoră a accesului neautorizat comparativ cu utilizarea doar a router-elor sau firewall-urilor.
Firewall-urile trebuie să fie:
- proiectate în mod special pentru asigurarea securităţii informaţiei;
- configurate în scopul asigurării traficului necesar în reţele;
- dotate cu capacitatea de conectare extensivă a înregistrărilor de evidenţă, ceea ce se referă la identificarea utilizatorilor, tipul traficului, tipul aplicaţiei şi controlul numărului de pachete expediate, recepţionate şi refuzate.
Pentru a asigura securitatea informaţiei a II este necesar de respectat următoarele cerinţe de securitate privind utilizarea firewall-urilor din infrastructura reţelei autorităţilor administraţiei publice:
- la nivel minim, firewall-ul trebuie să separe reţeaua Internet şi alte reţele publice de reţelele locale ale autorităţilor administraţiei publice;
- este necesar de utilizat mijloace criptografice pentru transmiterea datelor critice prin firewall;
- ansamblul de reguli ale firewall-ului urmează să corespundă listei de acces a router-ului;
- ansamblul de reguli ale firewall-ului şi listele de acces urmează să autorizeze doar posibilităţile reţelei care sînt necesare pentru serviciile de producere;
- trebuie respectate procedurile specifice ale autorităţilor administraţiei publice, iar în caz de necesitate de modificat lista de acces pentru adăugarea/modificarea/eliminarea protocoalelor sau a regulilor de setare;
- trebuie asigurată integritatea firewall-urilor.
7) Cerinţe privind mijloacele de suport a funcţionării infrastructurii informaţionale
Pentru a îmbunătăţi nivelul calităţii şi securităţii funcţionării autorităţilor administraţiei publice, faţă de mijloacele de suport a funcţionării II sînt înaintate următoarele cerinţe obligatorii:
- să se asigure evidenţa complexă şi controlul asupra resurselor informaţionale;
- să fie efectuată monitorizarea utilizării aplicaţiilor pe servere, la staţiile de lucru şi pe alte dispozitive ale clienţilor;
- să se asigure evidenţa şi inventarierea mijloacelor software şi hardware;
- să fie efectuată distribuirea corectărilor şi actualizărilor, managementul configuraţiilor de sistem şi reculul instalaţiilor pe diverse platforme software şi hardware, creînd condiţii pentru ridicarea nivelului de operativitate a activităţii autorităţilor administraţiei publice;
- să se asigure administrarea sigură a serverelor, staţiilor de lucru şi al aplicaţiilor de reţea la distanţă, precum şi managementul sigur la distanţă al utilizatorilor;
- să se efectueze controlul accesibilităţii şi productivităţii componentelor infrastructurii;
- să se asigure păstrarea şi managementul resurselor informaţionale;
- să se asigure suportul transmiterii de date audio, digitale şi video;
- să fie efectuată testarea diferitor configuraţii şi evaluarea modificărilor productivităţii în cazul modificării parametrilor sistemului;
- să se asigure suportul funcţiei de autentificare reciprocă a serverelor.
8) Cerinţe privind mijloacele multimedia
Pentru a asigura securitatea informaţiei a componentelor II, este necesar de a respecta următoarele cerinţe privind mijloacele multimedia:
- să se asigure securitatea arhitecturii de reţea destinată pentru transmiterea traficului multimedia;
- să se asigure integritatea datelor multimedia în procesul transmiterii acestora;
- să se asigure protecţia împotriva pierderii pachetelor multimedia şi a prelucrării neautorizate a acestora;
- să fie repartizată capacitatea de transmitere în dependenţă de funcţiile executate;
- să fie aplicate algoritmele de comprimare a datelor multimedia fără pierderi pentru restabilirea ulterioară a acestora;
- să se asigure transmiterea la timp şi corectă a datelor multimedia;
- să se asigure disponibilitatea mijloacelor de păstrare a fişierelor grafice şi a fişierelor audio.
9) Cerinţe privind centrul de guvernare electronică
Centrul de guvernare electronică trebuie să îndeplinească următoarele acţiuni:
- prelucrarea apelurilor şi asigurarea legăturii primare cu solicitantul;
- ţinerea registrelor de evidenţă şi urmărirea incidentelor;
- informarea solicitanţilor privind situaţia solicitărilor şi procesul de executare a acestor solicitări;
- efectuarea unei evaluări iniţiale a solicitărilor şi satisfacerea lor sau redirecţionarea acestora către grupurile speciale de deservire;
- efectuarea procedurilor de monitorizare;
- managementul ciclului de viaţă al solicitării, inclusiv închiderea şi verificarea;
- notificarea solicitanţilor privind modificările planificate sau de termen scurt din domeniul deservirii;
- furnizarea informaţiei şi recomandărilor administrative privind îmbunătăţirea deservirii;
- stabilirea necesităţilor solicitantului de a beneficia de instruire;
- închiderea incidentelor şi confirmarea închiderii la solicitant;
- participarea la identificarea problemelor.
În vederea soluţionării unui şir de aspecte ce ţin de management, centrul de guvernare va respecta cerinţele privind:
- structura organizaţională (oficiu separat, cîteva oficii sau un oficiu central, numărul de solicitanţi deserviţi, orele de asigurare a suportului, limbile de comunicare a personalului din cadrul centrului de guvernare electronică cu solicitanţii);
- sfera, numărul şi tipurile de aplicaţii care trebuie susţinute (standard, specializate, executate la comandă);
- cerinţele generale ale organizaţiei;
- infrastructura de reţea;
- sfera, numărul şi tipurile de hardware/tehnologii care trebuie susţinute;
- renovarea tehnologiilor;
- clasificarea solicitărilor;
- experienţa utilizatorilor;
- numărul de colaboratori ai centrului de guvernare electronică.
În caz de acordare a suportului în regim de 24/24 ore, trebuie luate în consideraţie următoarele aspecte:
- posibilitatea de interacţiune a sistemelor/mijloacelor de telecomunicaţii;
- accesibilitatea şi suportul în limbile locale;
- necesitatea de a asigura centrul de guvernare electronică cu personal ce cunoaşte mai multe limbi;
- utilizarea proceselor de management al incidentelor coordonate.
9. Cerinţe către măsurile şi mijloacele de asigurare a securităţii informaţiei a infrastructurii informaţionale în cadrul abordării structurate
1) Cerinţe privind identificarea, autentificarea şi autorizarea
Gestionarea identificării, autentificării şi autorizării trebuie să asigure securitatea, fiabilitatea şi protecţia al utilizatorilor identificaţi şi al accesului la componentele II.
Structura gestionării identificării, autentificării şi autorizării trebuie să includă următoarele componente:
- concepţia securităţii componentelor II care conţine:
a) importanţa securităţii informaţiei a componentelor II;
b) necesitatea de a proteja resursele informaţionale;
c) descrierea gestiunii datelor privind resursele informaţionale;
d) metoda de abordare a managementului riscurilor;
- strategia de gestionare a identificării, autentificării şi autorizării care conţine:
a) obiectivele gestiunii identificării, autentificării şi autorizării;
b) criteriile şi factorii de succes;
c) avantajele preconizate pentru afaceri, precum sînt procesele perfecţionate, reducerea costului, îmbunătăţirea calităţii procesului de prestare a serviciilor şi ridicarea nivelului productivităţii;
- politica şi standardele – stabilesc metoda de abordare a gestiunii sau acţiunilor pentru asigurarea protecţiei, fiabilităţii şi conformităţii cu cerinţele legislaţiei şi ale auditului;
- arhitectura gestionării identificării, autentificării şi autorizării care conţine:
a) repozitoriul pentru înregistrările de evidenţă a utilizatorilor şi profilurile acestora;
b) supravegherea permanentă a managementului ciclului de viaţă a profilurilor utilizatorilor;
c) diverse metode de autentificare, inclusiv parole, e-token, smart-card şi certificate digitale;
d) managementul accesului care stabileşte politica de acces la componentele infrastructurii;
- specificaţiile – trebuie să includă cerinţele privind determinarea tehnologiilor necesare de identificare, autentificare şi autorizare, în baza cerinţelor funcţionale, precum şi etapele implementării tehnologiilor respective.
Respectînd toate cerinţele privind procedurile de identificare, autentificare şi autorizare urmează să fie obţinute următoarele avantaje:
- perfecţionarea experienţei utilizatorilor în sfera gestionării identităţii, ceea ce va conduce la disponibilitatea utilizatorilor productivi şi la soluţionarea economică a sarcinilor fixate cu ajutorul II;
- extinderea integrării componentelor II, asigurîndu-se protecţia investiţională şi reducerea riscurilor;
- platforma multifuncţională care întruneşte soluţiile pentru diverse cerinţe de funcţionare a autorităţilor administraţiei publice;
- gestionarea centralizată a datelor procedurilor;
- extinderea securităţii, ce asigură niveluri înalte de securitate în situaţia riscurilor ascendente.
Pentru procedurile de identificare, autentificare şi autorizare trebuie să fie elaborate, documentate şi periodic reînnoite politica de identificare şi autentificare, precum şi procedurile şi măsurile legate de implementarea acesteia.
Politica de identificare şi autentificare trebuie să includă în mod obligatoriu următoarele:
- cerinţele privind crearea şi utilizarea înregistrărilor de evidenţă;
- cerinţele privind metodele de autentificare aplicate;
- cerinţele privind managementul parolelor;
- cerinţele privind managementul şi controlul drepturilor de acces;
- cerinţele securităţii privind utilizatorii.
a) Cerinţe privind identificarea
Pentru a asigura securitatea informaţiei a II este necesar de îndeplinit următoarele cerinţe privind sistemele de identificare:
- trebuie gestionate în mod centralizat înregistrările de evidenţă ale utilizatorilor;
- crearea, lichidarea şi managementul accesului utilizatorilor trebuie să fie automatizate;
- managementul identificatorilor utilizatorilor trebuie să fie asigurat prin:
a) identificarea unică a fiecărui utilizator;
b) verificarea autenticităţii fiecărui utilizator;
c) obţinerea autorizaţiei de eliberare a identificatorului pentru utilizator de la persoana cu funcţie de răspundere;
d) garantarea faptului că identificatorul utilizatorului este eliberat unei persoane predeterminate;
e) dezactivarea înregistrării de evidenţă a utilizatorului după intervalul de timp de inactivitate (pasivitate) setat;
f) ţinerea evidenţei copiilor de arhivă a identificatorilor utilizatorilor;
- gestionarea identificatorilor utilizatorilor urmează să fie efectuată doar de către persoane abilitate;
- trebuie efectuat în mod regulat controlul asupra identificării utilizatorilor;
- trebuie aplicată identificarea unică a utilizatorilor.
Este necesar de îndeplinit următoarele cerinţe privind înregistrările de evidenţă ale utilizatorilor:
- fiecare înregistrare de evidenţă trebuie să fie unică şi să aparţină unei singure persoane;
- o notificare de avertizare trebuie să fie generată în toate cazurile de conectare a utilizatorului, precum şi după identificarea/autentificarea acestuia;
- trebuie întreruptă conexiunea utilizatorului după un şir de încercări eşuate (sînt admise 5 încercări eşuate);
- trebuie anulate toate înregistrările de evidenţă ale utilizatorilor care nu au fost utilizate în decursul a 30 de zile. Administraţia este în drept să dezactiveze înregistrările de evidenţă a utilizatorilor temporari;
- trebuie deconectat sau blocat calculatorul utilizatorilor în cazul în care aceştia îşi părăsesc locul de muncă pentru o anumită perioadă de timp. În cazul în care calculatorul nu este utilizat timp de 15 minute, calculatorul respectiv urmează să blocheze sesiunea curentă;
- este interzisă utilizarea unei singure înregistrări de evidenţă de către mai mulţi utilizatori;
- formatul înregistrărilor de evidenţă urmează să fie documentat şi unic pentru toţi utilizatorii;
- trebuie indicate înregistrările de evidenţă unice ale administratorilor care trebuie să fie diferite de cele ale utilizatorilor;
- fiecare înregistrare de evidenţă trebuie să fie limitată reieşind din funcţiile îndeplinite, cu ajutorul software-ului de sistem, sistemului operaţional şi a gestiunii aplicaţiilor.
b) Cerinţe privind autentificarea
Autentificarea este procesul de stabilire dacă un obiect sau o afirmaţie sînt adevărate, aşa cum pretinde cineva. Autentificarea utilizatorilor se atribuie la nivelul logic de asigurare a securităţii informaţiei şi din acest motiv urmează să fie utilizată pentru toate componentele II (aplicaţii, baze de date, procese).
Sînt necesare diverse metode de autentificare în funcţie de resursele la care este necesar accesul şi de nivelul de protecţie aplicat pentru resursele respective:
- date biometrice;
- recunoaşterea parolelor, e-token-urilor, smart-card-urilor şi a certificatelor digitale;
- parole şi ID pentru conectare;
- chei fizice;
- absenţa metodelor.
Faţă de procesul autentificare sînt stabilite următoarele cerinţe:
- trebuie autorizate doar înregistrările de evidenţă ale utilizatorilor care sînt necesare pentru lucru;
- toate înregistrările de evidenţă a vizitatorilor trebuie să fie dezactivate;
- trebuie prezentată o avertizare de securitate pînă la autorizarea care trebuie să informeze utilizatorul despre restricţiile aplicate în procesul de autorizare;
- fiecare utilizator trebuie să fie autentificat cu succes pînă la autorizarea executării acţiunilor;
- numărul de încercări eşuate de conectare trebuie să fie limitat, iar utilizatorul urmează să fie blocat pentru a exclude posibilitatea repetării conectării în viitor (sînt admise 5 încercări eşuate);
- în caz de producere a evenimentelor respective, sistemul informaţional urmează să expedieze automat notificări în adresa personalului care urmează să autorizeze deblocarea utilizatorului după efectuarea unei analize;
- gestiunea mijloacelor de autentificare trebuie să fie asigurată prin:
a) determinarea componenţei iniţiale a mijloacelor de autentificare;
b) determinarea procedurilor administrative care reglementează procesul de distribuire şi anulare a mijloacelor de autentificare, precum şi a acţiunii în caz de pierdere/compromitere sau dereglare;
c) modificarea informaţiei de autentificare utilizate în mod automat după instalarea sistemului;
- trebuie asigurată conexiunea inversă cu utilizatorul în momentul cînd acesta parcurge procedura de autentificare; această conexiune însă nu trebuie să compromită mecanismul autentificării;
- toate parolele şi datele de autentificare trebuie să fie protejate împotriva accesului neautorizat;
- autentificarea utilizatorilor trebuie să fie auditată;
- trebuie ţinută evidenţa utilizatorilor, înregistrărilor de evidenţă şi a parolelor acestora de către persoanele responsabile pentru restabilirea parolelor cu organizarea ulterioară a accesului persoanei abilitate.
Una din metodele de autentificare este utilizarea parolelor, în privinţa căreia este necesar de respectat următoarele cerinţe:
- parola trebuie să conţină litere şi cifre;
- parola trebuie să conţină cel puţin opt simboluri;
- parola nu trebuie să fie formată doar din litere sau cifre, ele trebuie să fie combinate;
- parola nu trebuie să conţină repetări de simboluri;
- parolele trebuie să fie schimbate cel puţin o dată la 90 de zile;
- în baza de date este necesar de păstrat istoria parolelor (se recomandă păstrarea a ultimelor 6 parole) pentru a preveni utilizarea repetată a acestora;
- utilizatorii trebuie informaţi că nu se admite alegerea zilelor de naştere ale utilizatorilor, numelor rudelor sau apropiaţilor sau altor date personale în calitate de parole;
- se recomandă adăugarea simbolurilor speciale în parolă;
- parola nu trebuie să fie identică cu parola profilului administratorului;
- parola nu trebuie să repete o parte din profilul utilizatorului.
Utilizatorii trebuie să respecte următoarele cerinţe privind păstrarea datelor de autentificare:
- utilizatorii sînt obligaţi să respecte cerinţele prevăzute în documentele organizatorice şi de dispozitive cu privire la utilizarea staţiilor de lucru;
- utilizatorii sînt obligaţi să păstreze confidenţialitatea parolei de acces la resursele din reţea şi sisteme;
- utilizatorii nu trebuie să comunice parola personală unei alte persoane, chiar dacă această persoană este un angajat al organizaţiei;
- utilizatorii sînt obligaţi să introducă parola şi alte date de identificare după ce s-au asigurat că tastiera nu este vizibilă pentru alţi angajaţi;
- utilizatorii sînt obligaţi să schimbe periodic (cel puţin o dată la trei luni) parola de acces la resursele din sistem şi reţea, de sine stătător sau cu ajutorul administratorului;
- utilizatorii sînt obligaţi să nu utilizeze parolele care pot fi uşor identificate sau care au fost deja utilizate;
- este interzisă fixarea datelor personale de identificare (parole, identificatori, chei) de către utilizatori pe suporturi rigide (inclusiv de hîrtie).
c) Cerinţe privind autorizarea
Autorizarea reprezintă un proces de luare a deciziilor privind acordarea accesului utilizatorului la resursă sau la sistem.
Dreptul de acces implică diverse niveluri de control al accesului la un obiect anumit. Drepturile de acces trebuie să fie stabilite pentru:
- utilizatorii de obiecte;
- grupurile din care face parte utilizatorul;
- alte persoane.
Drepturile de acces de bază trebuie să includă următoarele:
- doar în citire – utilizatorului urmează să-i fie permisă vizualizarea datelor. La prezenţa acestor drepturi de acces utilizatorul nu poate să introducă modificări;
- citire şi modificare - utilizatorului urmează să-i fie permisă citirea, modificarea şi lichidarea datelor, precum şi dreptul la modificarea eventuală a drepturilor de acces.
La autorizarea utilizatorilor este necesar de respectat următoarele cerinţe:
- mecanismul de autorizare trebuie să se declanşeze doar după autentificarea cu succes a utilizatorului;
- mecanismele de autorizare trebuie să gestioneze accesul la nivelul URL: File şi URL;
- gestiunea drepturilor de acces trebuie să se bazeze pe structurarea utilizatorilor în grupuri şi pe roluri;
- drepturile de acces urmează să fie acordate doar în baza fişelor de post şi cerinţelor de serviciu;
- obiectele la care accesul public este necesar urmează să fie amplasate într-o zonă publică cu drepturi de acces corespunzătoare;
- drepturile de utilizator trebuie să fie prioritare drepturilor de grup. Administratorul obiectului urmează să deţină controlul deplin asupra obiectului respectiv şi asupra drepturilor de acces la acest obiect;
- ordinea priorităţilor privind accesul la obiect trebuie să fie următoarea: administrator, proprietar, grup, acces public;
- trebuie aplicate drepturile de acces presetate ale utilizatorilor;
- data modificării şi accesul la obiect trebuie să fie atribuite la drepturile administratorului. În caz de modificare a oricăror drepturi de acces, administratorii trebuie să urmărească modificările respective şi să ia decizii cu privire la reconfigurarea acestora în caz de necesitate;
- autorizarea utilizatorului privind utilizarea resursei trebuie să fie însoţită de o înregistrare în registru pentru a asigura posibilitatea efectuării unei analize în caz de survenire a unor neclarităţi în legătură cu starea resursei.
2) Cerinţe privind managementul accesului
Pentru asigurarea securităţii informaţiei trebuie utilizate mecanismele de management a accesului, ce asigură delimitarea accesului subiecţilor la componentele protejate ale II.
Cerinţele privind sistemul de management al accesului includ următoarele:
- controlul accesului trebuie să fie exercitat în raport cu fiecare obiect (componentă) şi fiecare subiect (persoană sau grup de persoane);
- să se efectueze gestiunea unică a înregistrărilor de evidenţă în diverse sisteme, care permite de a automatiza aplicarea politicii de securitate adoptate în cadrul organizaţiei în domeniul controlului accesului (inclusiv mobil) la diverse resurse informaţionale, aplicaţii şi servicii;
- trebuie menţinute mijloacele moderne de autentificare (inclusiv cel cu ajutorul mai multor factori, care include şi biometria) cu posibilitatea de înregistrare unică în sistem;
- trebuie efectuat controlul asupra ciclului de viaţă al utilizatorului în sisteme din momentul angajării lucrătorului pînă la eliberarea acestuia din serviciu;
- să se asigure sincronizarea automată a înregistrărilor de evidenţă a utilizatorilor din toate sistemele conectate (în primul rînd din întregul sistem de evidenţă a cadrelor) în conformitate cu politicile şi regulile din cadrul autorităţilor administraţiei publice;
- să se utilizeze mijloacele de configurare, management şi monitorizare a activităţii sistemului de management al accesului, precum şi mijloacele de ţinere a registrelor şi de audit independent;
- să se asigure integrarea cu sisteme externe de monitorizare, de audit al securităţii şi de suport.
Este necesar de aplicat două modele de management al accesului: discret şi pe bază de mandat.
Faţă de modelul discret de management al accesului sînt stabilite următoarele cerinţe:
- sistemul de protecţie trebuie să controleze accesul utilizatorilor nominalizaţi la obiectele nominalizate (fişiere, programe etc.);
- pentru fiecare pereche subiect-obiect urmează să fie setată o listă reală şi exactă a tipurilor acceptabile de acces;
- sistemul de protecţie trebuie să conţină un mecanism ce materializează regulile discrete de delimitare a accesului;
- controlul accesului trebuie să fie aplicabil în raport cu fiecare obiect şi fiecare utilizator;
- mecanismul ce realizează principiul discret de control al accesului trebuie să prevadă posibilităţile de modificare sancţionată a regulilor sau a drepturilor de delimitare a accesului;
- trebuie prevăzute mijloace de management ce limitează distribuirea drepturilor de acces.
Cerinţele privind mecanismul de management a accesului pe bază de mandat includ următoarele:
- pentru fiecare subiect şi obiect al accesului urmează să fie alocate categorii de acces la informaţie, care reprezintă baza principiului de mandat de delimitare a accesului;
- sistemul de protecţie la introducerea noilor date în sistem trebuie să solicite şi să primească de la utilizatorul sancţionat menţiunile de clasificare ale acestor date. La introducerea sancţionată a unui nou subiect în lista utilizatorilor, acestuia urmează să-i fie alocate menţiuni de clasificare. Menţiunile de clasificare externe (ale subiecţilor, obiectelor) trebuie să corespundă cu exactitate menţiunilor interne (în interiorul sistemului de protecţie);
- sistemul de protecţie trebuie să realizeze principiul de mandat al controlului accesului în raport cu toate obiectele în caz de acces deschis sau secret din partea oricărui utilizator:
a) subiectul poate citi obiectul doar în cazul în care nivelul subiectului nu este mai jos decît cel necesar obiectului;
b) subiectul efectuează înregistrarea în obiect doar în cazul cînd nivelul subiectului nu este mai înalt decît cel necesar obiectului;
- este necesar de a dispune de posibilitatea de mentenanţă, modificare a nivelurilor ale subiecţilor şi obiectelor de către subiecţi desemnaţi în mod special;
- trebuie aplicate mijloace care să efectueze captarea tuturor solicitărilor de obiecte din partea subiecţilor şi delimitarea accesului în conformitate cu principiul stabilit.
3) Cerinţe privind protecţia antivirus
Pentru a asigura securitatea informaţiei a componentelor II este necesar de a realiza următoarele măsuri în materie de protecţie antivirus:
- măsuri preventive, care previn atacurile cu viruşi prin lichidarea punctelor vulnerabile care sînt cauza producerii lor;
- măsuri orientate spre depistarea şi blocarea la timp a atacurilor cu viruşi şi spam-ului;
- măsuri, cu ajutorul cărora sînt depistate şi lichidate consecinţele pericolelor de viruşi pentru minimizarea prejudiciului cauzat în rezultatul realizării codului de viruşi.
Programele antivirus aplicate pentru componentele II trebuie să corespundă următoarelor cerinţe:
- software-ul trebuie să scaneze toată informaţia ce vine din exterior în materie de fişiere executabile infectate;
- să se utilizeze în mod optim şi raţional resursele memoriei operative şi ale procesorului;
- să se asigure protecţia antivirus în componentele II, inclusiv posibilitatea de actualizare automată a mijloacelor de protecţie antivirus;
- actualizarea mecanismelor de protecţie antivirus trebuie să se efectueze în mod automat;
- să se asigure o gestionare centralizată a mecanismelor de protecţie antivirus.
Pentru a asigura protecţia antivirus este necesar de utilizat următoarele tipuri de programe antivirus:
- programe-detectori, care efectuează căutarea semnăturii caracteristice pentru un anumit virus în memoria operativă şi în fişiere, şi care emit o notificare corespunzătoare în caz de depistare;
- programe-doctori, care efectuează căutarea viruşilor în memoria operativă, îi distruge şi, doar după aceasta, îi tratează;
- programe-inspectori, care verifică datele de pe disc în materie de viruşi invizibili, cercetează dacă virusul a ajuns în fişiere, dacă nu sînt elemente străine în sectorul de încărcare a hard-disk-ului, dacă nu sînt modificări nesancţionate în registrul sistemului operaţional, nu trebuie să utilizeze mijloacele sistemului operaţional pentru a accesa discurile;
- programe-filtre, care depistează acţiunile suspecte din activitatea staţiei de lucru, acţiuni care sînt caracteristice pentru viruşi (de exemplu: încercări de corectare a fişierelor cu extensiile „com”, „exe”; modificarea atributelor fişierelor, înregistrarea directă pe disc la adresa absolută, înregistrarea în sectoarele de încărcare de pe disc şi încărcarea programei rezidente), precum şi care îi expediază utilizatorului un mesaj şi care recomandă interzicerea sau permiterea acţiunii respective;
- programe-vaccinuri (imunizatoare), care previn infectarea fişierelor prin modificarea programelor sau discurilor, astfel încît să se evite afectarea funcţionării acestora, iar virusul să le accepte ca infectate;
- scanerul, care verifică fişierele, sectoarele şi memoria de sistem, precum şi care le verifică dacă nu conţin viruşi cunoscuţi sau noi, cu ajutorul aşa-numitelor „măşti”.
4) Cerinţe privind ţinerea registrelor de evenimente
Pentru a asigura securitatea informaţiei trebuie ţinute registrele de evidenţă a evenimentelor, care permite efectuarea analizei evenimentelor curente legate de funcţionarea componentelor infrastructurii.
În registrul evenimentelor urmează să fie incluse următoarele evenimente:
- alarme şi avertizări generate de sistemul de depistare a interferenţei;
- toate operaţiile legate de procedurile care prevăd operarea cu certificatele abonaţilor (acordarea, anularea, suspendarea, reînnoirea, modificarea);
- fiecare modificare a structurii echipamentului sau a software-ului;
- modificarea topologiei reţelelor sau conexiunilor de reţea;
- modificarea parolelor, numerelor de identificare personală, a drepturilor şi obligaţiunilor de serviciu;
- tentative realizate sau eşuate de acces la baza de date şi la serverele autorităţilor administraţiei publice;
- fiecare mesaj recepţionat de la abonat, fiecare solicitare şi fiecare confirmare din partea abonatului sau solicitantului;
- istoria creării copiilor de rezervă şi alte înregistrări cu caracter informativ din arhive, precum sînt bazele de date.
În procesul ţinerii registrelor de evenimente este necesar de respectat următoarele cerinţe:
- conţinutul înregistrării din registrul evenimentelor trebuie să includă următoarea informaţie:
a) data producerii evenimentului;
b) timpul producerii evenimentului;
c) înregistrarea de evidenţă a utilizatorului;
d) tipul evenimentului;
e) identificatorul evenimentului;
f) înregistrarea deciziei luate cu privire la eveniment, adică „executată” sau „a generat o eroare”;
- trebuie întreprinse măsuri privind protecţia datelor critice ce se conţin în rapoartele de audit;’
- trebuie întreprinse măsuri privind depistarea şi prevenirea înregistrărilor nesancţionate în registrul evenimentelor;
- toate înregistrările din registre trebuie să fie analizate în mod detaliat cel puţin o dată pe lună;
- trebuie ţinute registre separate pentru fiecare server şi staţie de lucru;
- în cazul completării registrului, acesta urmează să fie arhivat şi este necesar de creat altul nou;
- registrele evenimentelor trebuie să fie supuse copierii de rezervă obligatorii;
- fiecare registru în format electronic sau de hîrtie trebuie să fie verificat în procesul de auditare a sistemului;
- înregistrările din registrele evenimentelor trebuie să corespundă formatului care să permită citirea fără aplicarea unui software de decodificare sau a unui software analitic suplimentar;
- în scopul asigurării securităţii mediului operaţional este necesar de a dispune de acces la înregistrările din registrele evenimentelor în caz de survenire a unei situaţii de urgenţă;
- registrele de evenimente trebuie să fie arhivate şi păstrate în modul stabilit de prevederile legislaţiei în vigoare;
- arhivarea registrelor trebuie să fie reflectată în registre pe suport de hîrtie în prezenţa administratorului în securitate, administratorului de sistem şi a auditorului;
- toate copiile de arhivă de pe registrele evenimentelor trebuie să fie marcate temporar;
- în anumite situaţii înregistrările trebuie să fie integrate în programul general de monitorizare a securităţii sistemelor informaţionale;
- operaţiile legate de registru urmează să fie executate doar de persoane abilitate;
- administratorii de sistem nu sînt autorizaţi să lichideze din proprie iniţiativă rapoartele privind registrele sau să anuleze generarea lor.
5) Cerinţe privind copierea de rezervă şi restabilirea componentelor infrastructurii informaţionale
Pentru a asigura securitatea informaţiei realizarea copierii de rezervă trebuie să asigure atingerea obiectivelor următoare:
- asigurarea restabilirii cu succes a datelor de rezervă pentru utilizarea lor în regim normal;
- asigurarea dublării datelor pentru arhivarea şi păstrarea lor în decursul perioadei stabilite.
Datele ce urmează a fi supuse copierii de rezervă includ următoarele:
- discurile de instalare a aplicaţiilor de sistem şi a sistemelor;
- discurile de instalare cu software-ul autorităţilor administraţiei publice;
- datele privind bazele de date;
- datele despre utilizatorii şi colaboratorii din cadrul autorităţilor administraţiei publice;
- registrele evenimentelor.
Cerinţele privind sistemele de copiere de rezervă şi de restabilire includ:
- verificarea autenticităţii conţinutului copiilor de rezervă;
- testarea procesului de restabilire a copiilor de rezervă;
- pentru copiile de rezervă urmează să fie prevăzute condiţii de păstrare în siguranţă, precum şi domeniile electromagnetice, temperatura, umiditatea, eforturile uşoare şi mecanice;
- stabilirea şi respectarea condiţiilor de păstrare a utilităţii şi viabilităţii copiilor de rezervă;
- aplicarea a două metode de creare a copiilor de rezervă: copierea de rezervă a bazelor de date şi copierea de rezervă pentru restabilirea rapidă a configuraţiilor, parametrilor echipamentului şi software-ului;
- stabilirea conţinutului informaţiei ce urmează a fi supusă copierii de rezervă;
- crearea copiilor de rezervă a datelor de pe fiecare server şi din fiecare bază de date;
- crearea şi testarea în mod regulat a copiilor de rezervă ale datelor şi ale software-ului;
- stabilirea echipamentului corespunzător pentru copierea de rezervă, care să garanteze restabilirea informaţiilor necesare în totalitate şi a software-ului după dereglarea purtătorilor de informaţie sau după accident;
- documentarea procedurilor de copiere şi restabilire a informaţiei, generarea rapoartelor exacte şi depline despre copiile de rezervă;
- stabilirea volumului copierii de rezervă, copierea completă şi selectivă, şi frecvenţa efectuării acesteia;
- testarea şi verificarea procedurilor de restabilire a informaţiei pentru asigurarea garanţiei eficienţei acestora;
- protejarea copiilor de rezervă prin codificare;
- copierea de rezervă trebuie să cuprindă tot sistemul informaţional, aplicaţiile, datele necesare pentru restabilirea completă a sistemului după calamitate sau accident;
- stabilirea perioadelor de timp pentru păstrarea informaţiei, precum şi cerinţele pentru copiile de arhivă salvate în mod permanent.
Procesul de management al copierii de rezervă şi restabilirii trebuie să fie documentat în mod formal şi este necesar de a stabili o responsabilitate pentru procesul în cauză.
6) Cerinţele privind securitatea fizică a componentelor infrastructurii informaţionale
Pentru a asigura securitatea informaţiei securitatea fizică trebuie să asigure atingerea obiectivelor următoare:
- susţinerea integrităţii produselor şi serviciilor acordate utilizatorilor de către autorităţile administraţiei publice;
- prevenirea accesului nesancţionat, pierderii de informaţii, de software şi hardware.
Cerinţele privind securitatea fizică includ următoarele:
- trebuie asigurată protecţia împotriva următoarelor situaţii:
a) accesul nesancţionat în încăperi;
b) incendii şi inundaţii;
c) radiaţie electromagnetică;
d) jafuri şi furturi;
e) explozii;
- trebuie de asigurat cu posturi centrale şi personal de gardă, precum şi de utilizat următoarele mijloace tehnice de protecţie a obiectelor:
a) sisteme automatizate de control al accesului;
b) dispozitive de protecţie şi mijloace de semnalizare;
c) mijloace de supraveghere;
d) echipamentul din punctul de supraveghere centralizată;
e) lacăte mecanice;
f) sistem de dublare şi mijloace de alimentare cu curent electric;
- trebuie asigurată protecţia perimetrului fizic al autorităţilor administraţiei publice şi a tuturor componentelor II.
Procesul de gestionare a securităţii fizice trebuie să fie documentat în mod formal şi trebuie să fie stabilită răspunderea pentru acest proces. Politica securităţii fizice a II trebuie să includă în mod obligatoriu următoarele componente:
- cerinţele privind sistemele de control al accesului;
- cerinţele privind sistemul de rezervă;
- cerinţele privind sistemele de depistare a intruziunilor fizice.
7) Cerinţe privind mijloacele de protecţie criptografică a informaţiei care nu se atribuie la secret de stat
Obiectivul aplicării mijloacelor de protecţie criptografică a informaţiei constă în protecţia confidenţialităţii, autenticităţii şi integrităţii informaţiei.
Pentru a asigura protecţia informaţiei, este necesar de utilizat următoarele sisteme criptografice moderne:
- sisteme criptografice cu cheie privată (criptoalgoritme asimetrice, RSA, DSA);
- criptoalgoritme simetrice: AES (256);
- hash-algoritme.
Utilizarea acestor sisteme criptografice este obligatorie în următoarele cazuri:
- transmiterea informaţiei critice prin canalele de comunicaţii (de exemplu: poşta electronică);
- stabilirea autenticităţii mesajelor transmise;
- păstrarea informaţiei (documente, baze de date) pe purtători în format criptat.
Cerinţele privind mijloacele de protecţie criptografică trebuie să includă următoarele:
- cerinţe de fiabilitate:
a) mijloacele de protecţie trebuie să asigure nivelul stabilit de fiabilitate a transformărilor criptografice aplicate ale informaţiei, determinat de valoarea probabilităţii acceptabile a defectărilor şi deranjamentelor, care duc la obţinerea de către intrus a informaţiei suplimentare despre transformările criptografice;
b) iniţializarea (managementul, ajustarea şi montarea) mijloacelor de protecţie criptografică nu trebuie să înrăutăţească proprietăţile mijloacelor în materie de parametri ai fiabilităţii;
- cerinţe privind protecţia împotriva accesului nesancţionat – în cadrul sistemelor informaţionale pentru care sînt realizate mijloace software şi hardware de protecţie criptografică a informaţiei, în caz de păstrare şi prelucrare a informaţiei, trebuie prevăzute următoarele mecanisme esenţiale de protecţie:
a) identificarea şi autentificarea subiecţilor accesului;
b) managementul accesului;
c) ţinerea registrelor de evenimente;
- cerinţe privind elaborarea, executarea şi funcţionarea mijloacelor de protecţie criptografică a informaţiei – mijloacele hardware şi software, în baza cărora sînt elaborate sistemele de protecţie criptografică a informaţiei, nu trebuie să conţină posibilităţi funcţionale care să permită:
a) modificarea sau înlocuirea algoritmului de lucru al mijloacelor de protecţie a informaţiei în procesul elaborării, executării şi exploatării acestora;
b) modificarea sau înlocuirea fluxurilor informaţionale aferente funcţionării mijloacelor;
c) realizarea accesului persoanelor terţe la cheile informaţiei de identificare sau de autentificare;
d) obţinerea accesului la informaţie a mijloacelor de protecţie criptografică a informaţiei;
- cerinţele privind asigurarea securităţii cheilor de criptare şi ale semnăturii digitale:
a) toate cheile de criptare, cheile semnăturii digitale şi dischetele de instalare, destinate pentru a fi utilizate, trebuie să fie supuse unei evidenţe;
b) colaboratorii abilitaţi trebuie să poarte răspundere personală pentru integritatea cheilor de criptare şi cheile semnăturii digitale, precum şi pentru funcţionarea mijloacelor de protecţie criptografică a informaţiei;
c) trebuie asigurată integritatea cheilor de criptare, a cheilor semnăturilor digitale şi a dischetelor de instalare;
d) trebuie efectuat controlul periodic asupra integrităţii echipamentului care intră în componenţa mijloacelor de protecţie criptografică a informaţiei, precum şi a întregului software utilizat pentru a preveni introducerea deranjamentelor de software sau hardware şi a programelor de viruşi;
- cerinţe privind acţiunea rapidă a mijloacelor de protecţie criptografică:
a) mecanismele de asigurare a securităţii trebuie să prelucreze în mod eficient datele compuse la nivel de pachete multiplex;
b) mijloacele de securitate nu trebuie să cauzeze reţineri substanţiale în procesul de prelucrare şi transmitere a informaţiei;
c) infrastructura esenţială trebuie să conţină mijloace eficiente de reînnoire a cheilor criptografice;
d) algoritmele criptografice trebuie să prelucreze volume mari de informaţii într-o unitate de timp;
e) realizarea algoritmelor criptografice trebuie să permită operarea în sisteme cu capacităţi de transmitere diferite;
- cerinţe privind asigurarea organizaţională a securităţii mijloacelor de protecţie criptografică a informaţiei:
a) trebuie desemnate persoane responsabile de elaborarea şi aplicarea în practică a activităţilor de asigurare a funcţionării şi securităţii mijloacelor de protecţie criptografică a informaţiei;
b) aspectele ce ţin de asigurarea funcţionării şi securităţii mijloacelor de protecţie criptografică a informaţiei trebuie să fie reflectate în documente speciale, aprobate de conducerea organizaţiei;
- cerinţele privind colaboratorii care efectuează exploatarea şi instalarea mijloacelor de protecţie criptografică a informaţiei:
a) pentru operarea cu mijloacele de protecţie criptografică a informaţiei sînt admişi, în baza deciziei conducerii organizaţiei, doar colaboratorii care cunosc regulile de exploatare a acestora, posedă deprinderi practice de muncă şi care au susţinut instructajul privind operarea cu mijloacele de protecţie criptografică a informaţiei;
b) persoanele abilitate pentru a opera cu mijloacele criptografice trebuie să cunoască pericolele eventuale ale informaţiei în procesul de prelucrare, transmitere, păstrare a acesteia, precum şi metodele şi mijloacele de protecţie a informaţiei.
8) Cerinţe privind mijloacele de monitorizare
Mijloacele de monitorizare a securităţii informaţiei trebuie să asigure supravegherea permanentă a evenimentelor de securitate a informaţiei care se produc în procesul de schimb de informaţie, colectare, analiză şi sinteză a rezultatelor supravegherii asupra funcţionării componentelor II.
În scopul asigurării eficiente pe termen lung a securităţii informaţiei a II, este necesar de implementat un proces de monitorizare care să conţină cel puţin următoarele elemente pentru fiecare componentă a II:
- mecanisme fizice şi logice de securitate disponibile;
- mecanisme fizice şi logice de securitate implementate;
- tipuri de testare şi rezultatele acestora, efectuate pentru mecanismele de securitate;
- numărul de încălcări ale securităţii survenite şi gravitatea lor.
Cerinţele privind monitorizarea securităţii informaţiei a componentelor II includ următoarele:
- trebuie elaborate proceduri corespunzătoare pentru monitorizarea utilizării echipamentului, software-ului de prelucrare a informaţiei;
- evenimentele de securitate a informaţiei trebuie să fie monitorizate în regim de timp real 24*7;
- monitorizarea trebuie să realizeze asigurarea informaţională şi computaţională a managementului mijloacelor de protecţie a informaţiei în condiţii concrete;
- trebuie prezentate recomandări în privinţa incidentelor identificate de securitate a informaţiei;
- în procesul monitorizării trebuie verificată capacitatea de lucru a dispozitivelor critice şi a echipamentului;
- trebuie arhivate datele monitorizării şi asigurată integritatea acestor date;
- trebuie efectuată monitorizarea:
a) accesului la resurse;
b) operaţiilor executate asupra resurselor;
c) anumitor înregistrări de evidenţă;
d) funcţionării sistemului şi a diferitor dispozitive de introducere-extragere şi modificării setărilor acestor dispozitive;
e) erorilor şi deranjamentelor în funcţionarea sistemelor, care pot duce la încălcarea securităţii informaţiei a componentelor II;
- frecvenţa examinării rezultatelor monitorizării trebuie să fie determinată în baza următorilor factori:
a) riscurile implicate de securitate a informaţiei;
b) nivelul de criticitate a proceselor aplicaţiilor;
c) semnificaţia, sensibilitatea şi criticitatea informaţiei prelucrate;
d) experienţa anterioară de pătrundere în sistem şi utilizarea incorectă a acestuia, frecvenţa utilizării locurilor vulnerabile;
e) gradul de conexiune a sistemului cu alte reţele.
9) Cerinţe privind repartizarea rolurilor şi responsabilităţilor pentru asigurarea securităţii informaţiei a infrastructurii informaţionale
Realizarea proceselor de asigurare a securităţii informaţiei este posibilă în condiţiile unei determinări exacte a responsabilităţilor şi împuternicirilor. Subdiviziunile şi colaboratorii în parte din cadrul autorităţilor administraţiei publice trebuie să-şi execute obligaţiile privind asigurarea securităţii informaţiei în conformitate cu documentele organizatorice şi de dispoziţie aprobate de către conducere (regulamente, instrucţiuni, obligaţii, liste, formulare).
Rolurile şi obligaţiile specifice, care sînt caracteristice organizaţiei în ansamblu, privind realizarea şi menţinerea măsurilor de asigurare a securităţii informaţiei a componentelor II sînt prezentate în tabelul 2.
Tabelul 2. Rolurile şi obligaţiile privind asigurarea securităţii informaţiei a II
|
Rolul
|
Obligaţiile
|
|
Conducerea autorităţii administraţiei publice |
1) stabilirea sarcinilor de asigurare şi management al securităţii informaţiei şi controlul asupra realizării ei; 2) formalizarea cerinţelor privind colaboratorii şi utilizatorii terţei părţi privind utilizarea mijloacelor de protecţie în conformitate cu politica şi procedurile de securitate informaţiei stabilite; 3) susţinerea măsurilor, mijloacelor şi instrumentelor de protecţie în cadrul organizaţiei prin intermediul unei administrări consecvente, a repartizării detaliate şi a recunoaşterii responsabilităţii pentru toate acţiunile privind asigurarea protecţiei informaţiei. |
|
Departamentul de securitate informaţiei Poartă răspundere deplină pentru securitatea informaţiei în cadrul autorităţii administraţiei publice. |
1) realizarea abordării conceptuale a securităţii informaţiei şi a strategiei organizaţiei; 2) asigurarea administrării transparente şi susţinerea pronunţată a managementului iniţiativelor de securitate; 3) promovarea securităţii informaţiei în cadrul organizaţiei; 4) aprobarea politicii de securitate informaţiei, a standardelor şi principiilor fundamentale; 5) asigurarea efectuării acţiunilor privind asigurarea securităţii informaţiei comune cu alte unităţi structurale; 6) supravegherea asupra realizării şi monitorizării permanente a securităţii informaţiei; 7) asigurarea administrării în conformitate cu securitatea informaţiei; 8) asigurarea forumurilor pentru discutarea aspectelor ce ţin de securitatea informaţiei în cadrul organizaţiei; 9) gestionarea dezvoltării şi controlului asupra tratării deficienţelor principale de securitate. |
|
Posesorii componentelor infrastructurii informaţionale |
1) implementarea politicilor şi procedurilor de securitate informaţiei adoptate; 2) evaluarea informaţională periodică a nivelului de risc în domeniul de responsabilitate; 3) stabilirea priorităţilor pentru perfecţionarea asigurării securităţii informaţiei a componentelor; 4) repartizarea resurselor (de exemplu: este desemnat administratorul în securitate); 5) stabilirea regulilor şi nivelurilor de autorizare; 6) efectuarea controlului conformităţii în domeniile de responsabilitate; 7) gestionarea dezvoltării şi controlului asupra soluţionării problemei principale privind securitatea componentelor; 8) responsabilitatea pentru stabilirea nivelurilor de autorizare necesare pentru asigurarea unei securităţi adecvate a componentelor; 9) responsabilitatea poate fi delegată conform funcţiilor securităţii, dar posesorii componentelor II poartă răspunderea finală. |
|
Administraţia (managerii subdiviziunilor) Administraţia trebuie să conştientizeze responsabilităţile ce îi revin în privinţa securităţii informaţiei. |
1) responsabilitate directă pentru conştientizarea de către întreg personalul a obligaţiunilor sale de a proteja componentele II; 2) realizarea politicii de securitate informaţiei în modul stabilit în politica respectivă; 3) gestionarea activă a profilurilor de acces a utilizatorilor; 4) verificarea suficienţei resurselor aflate la dispoziţia persoanei cu funcţie de răspundere în vederea realizării sarcinilor fixate. |
|
Administratorul în securitate
Poartă răspundere pentru implementarea, controlul şi executarea regulilor de asigurare a securităţii informaţiei. |
1) managementul zilnic de executare a cerinţelor de securitate informaţiei; 2) susţinerea şi aplicarea zilnică a tuturor politicilor şi procedurilor de asigurare a securităţii informaţiei prin intermediul efectuării unor vizite selective, furnizării de răspunsuri şi soluţionării problemelor; 3) redactarea politicii de securitatea informaţiei, procedurilor şi normelor; 4) responsabilitatea pentru securitatea şi funcţionarea tuturor materialelor criptografice utilizat în procesul de criptografie, generare, aplicare a menţiunilor şi arhivare a cheilor private şi publice; 5) elaborarea şi implementarea sistemului de protecţie criptografică a informaţiei; 6) păstrarea şi ţinerea la evidenţă purtătorilor de informaţii critice; 7) elaborarea documentaţiei privind utilizarea mijloacelor de protecţie criptografică; 8) efectuarea controlului şi depistarea cazurilor de încălcare de către utilizatorii finali a modului de utilizare a mijloacelor de protecţie criptografică a informaţiei şi de obţinere a accesului la aceste mijloace; 9) gestionarea software-ului, datelor păstrate şi prelucrate în baza tehnică şi de programe a autorităţilor administraţiei publice. |
|
Administratorul de sistem
|
1) asigurarea funcţionării normale, managementului, precum şi asigurarea securităţii informaţiei a complexului de software şi hardware; 2) monitorizarea eficienţei şi raţionalităţii funcţionării procesului de management al incidentelor. |
|
Managerii componentelor infrastructurii informaţionale |
1) responsabilitatea pentru managementul şi controlul deplin asupra proceselor de management al componentelor infrastructurii informaţionale. |
|
Proiectantul componentelor infrastructurii informaţionale |
1) elaborarea planurilor şi cerinţelor privind componentele infrastructurii informaţionale; 2) coordonarea, evaluarea şi examinarea progresului în executarea tuturor strategiilor şi planurilor privind componentele II. |
|
Elaboratorul componentelor infrastructurii informaţionale |
1) proiectarea componentelor sigure şi flexibile ale II; 2) elaborarea şi susţinerea tuturor componentelor II. |
|
Managerul pentru implementarea componentelor infrastructurii informaţionale |
1) elaborarea planurilor de implementare a componentelor II; 2) gestionarea procesului de implementare a componentelor II; 3) analizarea procesului şi procedurilor de implementare pentru a garanta eficienţa şi conformitatea cu cerinţele existente; 4) realizarea perfecţionărilor continue în procesul de implementare a componentelor II; 5) asigurarea accesibilităţii mijloacelor de implementare şi realizarea implementării. |
|
Echipa de implementare a componentelor infrastructurii informaţionale |
1) implementarea funcţională şi tehnică a componentelor II; 2) crearea mediului de lucru al componentelor II;
3) participarea la testarea de predare-primire a componentelor II; 4) participarea la deservirea componentelor infrastructurii. |
|
Managerul pentru deservirea componentelor infrastructurii informaţionale |
1) elaborarea, susţinerea şi aplicarea criteriilor şi procedurilor de realizare a componentelor noi; 2) deservirea infrastructurii în conformitate cu cerinţele de securitate, cerinţele mediului de lucru şi alte cerinţe; 3) verificarea periodică a proceselor de deservire pentru a asigura funcţionarea eficientă a componentelor infrastructurii. |
|
Managerul pentru păstrarea de rezervă şi restabilirea componentelor infrastructurii informaţionale |
1) gestionarea şi controlul tuturor aspectelor copierii de rezervă şi listelor de restabilire a componentelor infrastructurii; 2) testarea copiilor de rezervă;
3) managementul tuturor purtătorilor de informaţii utilizaţi pentru copierea de rezervă. |
|
Administratorii bazelor de date
|
1) elaborarea logică şi fizică, repartizarea tuturor bazelor de date active; 2) setarea şi instalarea bazelor de date;
3) gestionarea obiectelor din bazele de date: indexuri, tabele, restricţii, consecutivităţi, proceduri; 4) arhivarea copiilor de rezervă şi restabilirea bazelor de date; 5) gestionarea utilizatorilor şi profilurilor acestora; 6) gestionarea fişierelor şi dispozitivelor.
|
|
Managerul pentru asistenţa tehnică componentelor infrastructurii informaţionale |
1) coordonarea, gestionarea echipei de asistenţă tehnică; 2) elaborarea şi aplicarea metodelor şi procedurilor de asistenţă tehnică; 3) responsabilitatea pentru asigurarea calităţii asistenţei tehnice. |
|
Echipa de asistenţă tehnică pentru componentele infrastructurii informaţionale |
1) analiza problemelor tehnice ale infrastructurii; 2) stabilirea diagnosticului problemelor tehnice; 3) susţinerea, elaborarea, configurarea şi integrarea tuturor mijloacelor de management. |
Pentru a asigura securitatea informaţiei a II în procesul de repartizare a rolurilor şi responsabilităţii este necesar de întreprins următoarele acţiuni:
- la stabilirea rolurilor pentru colaboratorii din cadrul autorităţilor administraţiei publice este necesar de ţinut cont de scopuri, resursele disponibile, cerinţele funcţionale şi procedurale, criteriile de evaluare a eficienţei respectării regulilor pentru rolul respectiv;
- este interzis de a cumula de către o singură persoană rolul de elaborare, mentenanţă, executare, gestionare sau control al componentelor II;
- nivelurile de împuterniciri trebuie să fie stabilite într-un mod clar şi exact;
- este necesar de a identifica împuternicirile incompatibile detaliate pentru componentele critice ale II, a căror îmbinare poate duce la conflicte potenţiale;
- este necesar de a delimita împuternicirile privind asigurarea securităţii informaţiei a componentelor II;
- este necesar de a efectua controlul manual sau automatizat asupra delimitării şi exercitării împuternicirilor privind asigurarea securităţii informaţiei a componentelor II;
- în caz de absenţă a persoanelor responsabile de asigurarea securităţii informaţiei a componentelor II, este necesar de a desemna persoane interimare responsabile de asigurarea securităţii informaţiei a II;
- răspunderea, responsabilităţile şi împuternicirile unităţilor structurale şi a unor colaboratori concreţi în materie de asigurare a securităţii informaţiei a II trebuie să fie stipulate în prevederile privind subdiviziunile structurale, în instrucţiuni şi în obligaţiunile de serviciu corespunzătoare ale colaboratorilor.
Cerinţele privind documentarea responsabilităţii privind respectarea cerinţelor securităţii trebuie să includă următoarele:
- funcţiile (rolurile) şi răspunderea în sfera securităţii informaţiei a II trebuie să fie stipulate în contractele de muncă;
- în fişele de post trebuie să fie specificate responsabilităţile generale privind implementarea şi respectarea securităţii informaţiei, precum şi particularităţile specifice privind protecţia componentelor II legate de securitatea informaţiei.